![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています
脆弱性と脅威
エクスプロイト
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合、任意の PHP コードを実行されてホストに侵入されてしまう可能性があります。
◆分析者コメント
対象ホストのデータベースへの認証情報が必要となる脆弱性ですが、SELECT 文が発行できるアカウントでログインに成功すれば悪用可能な脆弱性であるため、ほぼすべてのデータベースアカウントが悪用可能です。アップデートや認証情報の強化はもちろんですが、ソフトウェアの性質上、インターネット経由でアクセスできないようにアクセス制限を確認することを推奨します。
◆深刻度(CVSS)
本記事執筆時点 (2018 年 7 月 19 日) で CVSS 値情報の公開はありません。
◆影響を受けるソフトウェア
phpMyAdmin 4.8 系のうち、バージョン 4.8.2 未満が当該脆弱性の影響を受けます。phpMyAdmin 4.7 以下は当該脆弱性の影響を受けません。
◆解説
世界的なシェアを誇るデータベース管理用 Web コンソールソフトウェアである phpMyAdmin のバージョン 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
関連記事
-
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Foxit Reader および Foxit Phantom Reader における Use-After-Free とメモリリークにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)
-
git コマンドにおけるディレクトリトラバーサルにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
特集ここが変だよ日本のセキュリティ 第38回 「転生したら CSIRT だった件」
これまでのお話で分かると思うけど、CSIRT体制構築は成熟期に向かう過渡期にあり、評価や話題性でみると終焉に向かいつつある。低コストで維持しやすい組織を目指した方がいい。
-
ここが変だよ日本のセキュリティ 第37回 「CSIRT体制構築ブームに、スプラッシュマウンテンの滝の音が聞こえる」
既に、CSIRT体制構築ブームに乗って、日本シーサート協議会に登録、あわよくばIT系のニュースで事例紹介されたい、なんてCSIRTゴールは飽きられ始めている。新鮮味が薄くなったんだ。ITに疎い経営者も少なくなった。
-
伝説的ハッカーグループ出身者が大統領候補に(The Register)
アメリカの大統領候補者として新たに浮上しているベト・オルーク氏は、自身がインターネット史における伝説的なハッカー集団の1つ、「カルト・オブ・ザ・デッド・カウ( cDc )」のメンバーだったと告白した。
-
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
連載「ここが変だよ日本のセキュリティ」は、その内容はもちろんのこと、毎回記事に添付される、強烈な存在感を放つ、純愛を貫く著者近影写真もメッセージに力強い説得力を加えてきました。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
相談件数が前四半期から約25%減少、偽警告のみ増加(IPA)
Verizon製ルータの脆弱性発見(Tenable Network Security Japan)
Broadcom製Wi-Fiチップセット用ドライバに複数の脆弱性(JVN)
OracleがJavaをアップデート、商用ユーザ向けJava SE 8は提供終了(IPA、JPCERT/CC)
「Confluence Server」および「Confluence Data Center」に複数の脆弱性(JPCERT/CC)
「WPA3」に弱いパスワードを取得されるなど複数の脆弱性(JVN)
インシデント・事故 記事一覧へ
「個人情報漏えい事故防止マニュアル」を順守せず患者情報49名分を誤送信(大阪市)
首都圏2店舗の顧客情報が記録されたUSBメモリを紛失(ライフコーポレーション)
「エーデルワイン オンラインショップ」への不正アクセスでカード情報が流出(エーデルワイン)
「(仮称)大阪府自転車通行空間10か年整備計画(素案)」に対する意見提出用紙を紛失(大阪府)
6,123人の個人情報が記録された選挙人名簿照合用USBメモリを紛失(相模原市)
個人情報が記載された領収書(控)と納入書等を紛失、誤廃棄の可能性(徳島信用金庫)
調査・レポート・白書 記事一覧へ
いずれの学年もネットでのコミュニケーションに関する心配事が7割以上に(NTTドコモ モバイル社会研究所)
食品、物流、NPO:2018年のサイバー攻撃標的(Cylance Japan)
サプライチェーンの責任範囲、「専門知識・スキル不足」で明確にできず(IPA)
個人のマルウェア感染率は企業の二倍、半数以上が1年以内に再感染(ウェブルート)
組織の77%が「インシデント対応計画がない」--グローバル調査(IBMセキュリティー)
DDoS攻撃の発生件数が増加、複合プロトコル攻撃の増加も顕著(CDNetworks)
研修・セミナー・カンファレンス 記事一覧へ
初の大阪開催~脅威実態とインシデント分析、DeNAのEDR導入事例まで(CrowdStrike)
x86 アーキテクチャの不可解な「仕様」
車検証の電子化に向けてセキュリティ面を含めた技術的要件を検討(国土交通省)
西本逸郎の最近の頭の中
民間対民間のサイバー時代の終焉 ~ サイバーリーズン エバンジェリスト 増田幸美氏
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
![[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像](/imgs/std_m/26608.jpg)
