![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2019021201.png){kind=logo}
phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています
脆弱性と脅威
エクスプロイト
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合、任意の PHP コードを実行されてホストに侵入されてしまう可能性があります。
◆分析者コメント
対象ホストのデータベースへの認証情報が必要となる脆弱性ですが、SELECT 文が発行できるアカウントでログインに成功すれば悪用可能な脆弱性であるため、ほぼすべてのデータベースアカウントが悪用可能です。アップデートや認証情報の強化はもちろんですが、ソフトウェアの性質上、インターネット経由でアクセスできないようにアクセス制限を確認することを推奨します。
◆深刻度(CVSS)
本記事執筆時点 (2018 年 7 月 19 日) で CVSS 値情報の公開はありません。
◆影響を受けるソフトウェア
phpMyAdmin 4.8 系のうち、バージョン 4.8.2 未満が当該脆弱性の影響を受けます。phpMyAdmin 4.7 以下は当該脆弱性の影響を受けません。
◆解説
世界的なシェアを誇るデータベース管理用 Web コンソールソフトウェアである phpMyAdmin のバージョン 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
関連記事
-
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Foxit Reader および Foxit Phantom Reader における Use-After-Free とメモリリークにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)
-
git コマンドにおけるディレクトリトラバーサルにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス脆弱性捕物控:Gooogle Security Assurance Team 日々之御仕事
GoogleにはPROJECT ZEROという市井ソフトウェアの脆弱性発見プログラムがあるが、自社製品についてもリリース前のセキュリティ監査やバグや脆弱性をFIXさせるチーム、Gooogle Security Assurance Teamが存在する。
-
「ハッキングにはハッキングで報復」英閣僚発言、NATO同調か(The Register)
ハント氏は次のようにも述べている。「サイバー攻撃による他国への干渉が一般的なものになってしまえば、民主主義に対する国民の信頼を独裁国家が揺るがす危険がある」
-
TLPT(Threat-Led Penetration Test)実施手順
清水氏がこれまでに TLPT チームの一員として参加し経験した TLPT の具体的実施手順について話を聞いた。
-
Scan PREMIUM Monthly Executive Summary 2019 年 5 月のふりかえり:G20 大阪サミットの情報収集か
同脆弱性の検証コードは世界中で開発中ですので、悪用を目的とした攻撃ツールが登場するのも時間の問題とされています。なお、公開されている検証コードの開発状況は BlueKeepTracker などで確認することができます。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
WordPress用プラグイン「Contest Gallery」に意図しない操作される脆弱性(JVN)
マイクロソフトが月例セキュリティ情報を公開、9製品を更新(IPA、JPCERT/CC)
「Adobe Flash Player」のセキュリティアップデートを公開(JPCERT/CC、IPA)
Minecraftサーバ向けプラグイン「Dynmap」に画像を取得される脆弱性(JVN)
Appleが「iCloud for Windows」のアップデートを公開(JVN)
Intelがアドバイザリを公開、対象製品はアップデートを(JVN)
インシデント・事故 記事一覧へ
西淀川区役所にて生活保護費にかかる申請書類を紛失(大阪市)
Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)
不正アクセスで婦人服・雑貨等の販売ショップのカード情報入力画面が改ざん被害(ジュニアー)
「netsugi」Webサイトに第三者から不正アクセス、サイトの一部が改ざん被害(平成建設)
府立今宮工科高等学校にて生徒の個人情報が記載された「記録簿」を紛失(大阪府)
「平成31年度多面的機能支払交付金」に係る書類5件を紛失(新潟県)
調査・レポート・白書 記事一覧へ
1兆円突破、2017年度情報セキュリティ市場(JNSA)
EDR、MDRサービスの利用が堅調に拡大--実態調査(IDC Japan)
2018年の個人情報漏えい調査の速報値を公開、漏えい件数が増加に転じる(JNSA)
第1回の結果・講評から読み解く、サイバーセキュリティ小説コンテストの対策とは
個人の不正払い戻しの被害が急増、総額は2億円を超える(全銀協)
18人の笹木野ミドリ ~ “ノンフィクション” CSIRT 小説執筆裏話
研修・セミナー・カンファレンス 記事一覧へ
脆弱性捕物控:Gooogle Security Assurance Team 日々之御仕事
物理・ネット融合領域から生まれるリスク~韓国 SECON 2019 レポート
PCIDSS特化型脆弱性診断のハンズオントレーニング開催(fjコンサルティング)
ACD(攻撃的サイバー防衛)はどこまで許されるのか
MBSD国分裕の「脆弱性診断士育成」カリスマ授業
サイバー攻撃被害、日韓に存在した共通点
製品・サービス・業界動向 記事一覧へ
手形・小切手の画像データで銀行間決済可能に、3年後目途(全銀協)
Carbon Black社EDRマネージドサービス提供開始(GRCS)
異常検知の前後を記録、ネットワークトラフィック監視システム(NTT-AT)
Deep Security新バージョン、コンテナ対応を強化(トレンドマイクロ)
3社連携、EDRフルマネージドサービスをクラウド提供(デル、Secureworks、CrowdStrike)
「EC-CUBE」サイトの無料セキュリティチェックなど提供(EGセキュアソリューションズ)
おしらせ 記事一覧へ
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
マクニカネットワークス株式会社 セキュリティサービス室 室長代理 柳下氏を取材しました
![[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ 画像](/imgs/std_m/26608.jpg)
[おしらせ] 人気連載執筆者のご自宅玄関、扉の奥へ
記事に関するお詫びと訂正:メール誤送信を助長する表現について
