phpMyAdminにて任意のコードを実行可能な脆弱性（CVE-2011-2505, CVE-2011-2506）に関する検証レポート

phpMyAdminにて任意のコードを実行可能な脆弱性（CVE-2011-2505, CVE-2011-2506）に関する検証レポート Tweet 2011/07/29 NTTデータ先端技術株式会社 辻 伸弘 泉田 幸宏 小松 徹也 【概要】 phpMyAdminにセッション変数内のデータを変更可能な脆弱性（CVE-2011-2505）が発見されました。 この脆弱性は、phpMyAdmin上の$_SESSION配列にPHPコードを埋め込むことが可能です。また、phpMyAdminに変数を適切に処理しない脆弱性（CVE-2011-2506）が発見されました。 この脆弱性は、コンフィグ作成生成用スクリプトにおいて変数内データを適切に処理しないため、PHPコードを含むファイルを出力可能です。これらの脆弱性を組み合わせて利用することにより、Webサーバの実行権限で任意のPHPコードを実行可能となり

[todesking]

お得情報だ

[mumincacao]

phpMyAdmin ってあいかわらず機能が多すぎてさっぱり使い切れないのにちょくちょくくりてぃかるなの出るなぁ・・・ いろいろ制限してるけどできれば本番さーばでは使いたくないものにう（´・ω【みかん

[ytoku]

脆弱性の詳細を見てなかったので気づいていなかったけれど、こんなに凶悪だったとは/数日前のセキュリティフィックスじゃなくて今月頭のやつ

[shin1x1]

phpMyAdminを使っている人は要チェック！

[waterwalker]

本体はドキュメントルートより上に置いて、シンボリックリンクの取り外しで運用することが望ましいな。

[riywo]

うひょー

[hiroshi_revolution]

phpMyAdminにて任意のコードを実行可能な脆弱性（CVE-2011-2505, CVE-2011-2506）に関する検証レポート

[tsupo]

phpMyAdmin上の$_SESSION配列にPHPコードを埋め込むことが可能 / phpMyAdmin バージョン3.3.10.2未満, バージョン3.4.3.1未満 を使っている場合はアップデートすること

[deg84]

バージョンアップしましょう

[ockeghem]

興味深い。時間をみつけて検証したい