NTTデータ・セキュリティ株式会社は6月12日、phpMyAdminで確認された脆弱性に関する検証レポートを公開した。これは、phpMyAdminのsetup.phpファイルに存在する脆弱性により、リモートからWebサービスの実行権限で任意のコマンドが実行可能になるというもの。この脆弱性が悪用されると、悪意のあるユーザにWebサービスの実行権限での情報取得、改ざん、悪意あるプログラムをシステム内にインストールされるといった被害を受ける可能性がある。 同社では、phpMyAdmin 3.0.1.1およびphpMyAdmin 2.11.9.4をターゲットシステムとして、細工したHTTPリクエストを送ることで任意のコマンドを実行するという検証を行った。この結果、ターゲットシステムに存在するユーザの一覧を取得することに成功した。これにより、悪意あるユーザにSSHなどから当該ユーザに対するオンラインクラックを行われ、システムへのさらなる制御の奪取を許す危険性が確認された。 http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090615.pdf
