FreeBSD：phpmyadmin -- 多种漏洞 (ef70b201-645d-11e6-9cdc-6805ca0b3d42)

critical Nessus 插件 ID 93024

语言：

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

phpmyadmin 开发团队报告：汇总 cookie 加密的漏洞描述发现一对会影响 cookie 存储方式的漏洞。

- 用户名/密码解密容易受到 padding oracle 攻击。这可允许能够访问用户浏览器 cookie 文件的攻击者解密用户名与密码。

- 发现一个漏洞，其中使用了相同的初始化矢量 (IV) 哈希存储在 phpMyAdmin cookie 中的用户名和密码。如果用户所用的密码与用户名相同，则检查浏览器 cookie 的攻击者即可查看，但由于 cookie 仍受哈希处理，因此无法直接从 cookie 解密这些值。严重性我们认为此漏洞很严重。汇总多种 XSS 漏洞描述已在以下 phpMyAdmin 区域中发现多种漏洞：

- 缩放搜索：可使用特别构建的列内容触发 XSS 攻击

- GIS 编辑器：图形 GIS 编辑器中的某些字段未正确转义，并可用于触发 XSS 攻击

- 关系视图

- 以下转换：

- 格式化

- Imagelink

- JPEG：上传

- RegexValidation

- JPEG 内联

- PNG 内联

- 转换封装程序

- XML 导出

- MediaWiki 导出

- Designer

- MySQL 服务器以特别构建的 log_bin 指令运行时

- 数据库选项卡

- 复制功能

- 数据库搜索严重性我们认为这些漏洞的严重性属于中等。汇总多种 XSS 漏洞描述在以下情况中发现 XSS 漏洞：

- 数据库权限检查

-“删除分区”功能

特别构建的数据库名称可触发 XSS 攻击。严重性我们认为这些漏洞的严重性属于中等。汇总 PHP 代码注入描述发现有一个漏洞允许利用特别构建的数据库名称，通过数组导出功能运行任意 PHP 命令严重性我们认为这些漏洞的严重性属于中等。汇总完整路径泄露描述发现一个完整路径泄露漏洞，其允许用户在导出机制中触发特定错误，以发现磁盘中 phpMyAdmin 的完整路径。
严重性我们认为此漏洞不严重。汇总 SQL 注入攻击描述据报告有一个漏洞允许使用特别构建的数据库和/或表名称，通过导出功能触发 SQL 注入攻击。严重性我们认为此漏洞很严重汇总本地文件泄露描述发现有一个漏洞允许用户利用 LOAD LOCAL INFILE 功能，将服务器上的文件泄露给数据库系统。严重性我们认为此漏洞很严重。汇总通过 UploadDir 符号链接造成的本地文件泄露描述发现有一个漏洞允许用户在磁盘上特别构建一个符号链接，其针对 phpMyAdmin 可读取但用户无法读取的文件，而随后 phpMyAdmin 会将该文件泄露给用户。
严重性我们认为此漏洞很严重，但由于缓解因素，默认状态没有漏洞。缓解因素 1) 必须在已配置 UploadDir（非默认）的情况下运行安装 2) 用户必须能够在 UploadDir 中创建符号链接 3) 运行 phpMyAdmin 应用程序的用户必须能够读取文件汇总通过 SaveDir 和 UploadDir 的路径遍历描述据报告 SaveDir 和 UploadDir 功能的 %u 用户名替换功能有一个漏洞。配置替代用户名时，可使用特别构建的用户名来避开遍历文件系统的限制。
严重性我们认为此漏洞很严重，但由于缓解因素，默认状态没有漏洞。缓解因素 1) 系统必须以 %u 用户名替换（如“$cfg['SaveDir'] = 'SaveDir_%u';”进行配置 2) 用户必须能够创建特别构建的 MySQL 用户，包括字符的“/.”序列（如“/../../”）汇总多种 XSS 漏洞描述在以下区域发现多种 XSS 漏洞：

- 导航窗格和数据库/表隐藏功能。可使用特别构建的数据库名称触发 XSS 攻击。

-“跟踪”功能。可使用特别构建的查询触发 XSS 攻击。

- GIS 可视化功能。严重性我们认为此漏洞不严重。汇总 SQL 注入攻击描述在以下功能中发现一个漏洞，其允许用户对控制用户（用户群组 Designer）帐户执行 SQL 注入攻击严重性我们认为此漏洞很严重。缓解因素服务器必须拥有在 MySQL 中创建并在 phpMyAdmin 中配置的控制用户帐户；没有控制用户的安装没有漏洞。汇总 SQL 注入攻击描述据报告有一个漏洞允许使用特别构建的数据库和/或表名称，通过导出功能触发 SQL 注入攻击。严重性我们认为此漏洞很严重汇总转换功能中的拒绝服务 (DOS) 攻击描述在转换功能中发现一个漏洞，其允许用户对服务器触发拒绝服务 (DOS) 攻击。严重性我们认为此漏洞不严重汇总以控制用户的身份执行 SQL 注入攻击描述在用户接口首选项功能中发现一个漏洞，其允许用户对控制用户帐户执行 SQL 注入攻击。严重性我们认为此漏洞很严重。缓解因素服务器必须拥有在 MySQL 中创建并在 phpMyAdmin 中配置的控制用户帐户；没有控制用户的安装没有漏洞。汇总未经验证的数据传递到 unserialize() 描述据报告有一个漏洞，使一些数据未经验证为有效的序列化数据，即传递到 PHP unserialize() 函数。

由于 PHP 函数的操作方式，

反序列化因对象实例化和自动加载，而导致加载并执行代码，恶意用户可能利用此漏洞。

因此，恶意用户能够以利用此漏洞的方式操控存储的数据。严重性我们认为此漏洞的严重性属于中等。汇总通过强制持续连接造成的 DOS 攻击描述发现有一个漏洞，其允许未经认证的用户在 phpMyAdmin 以 $cfg['AllowArbitraryServer']=true; 运行时强制持续连接，从而执行拒绝服务 (DOS) 攻击。严重性尽管默认情况下 phpMyAdmin 不会受到影响，但我们认为此漏洞很严重。汇总循环引起的拒绝服务 (DOS) 攻击描述已报告有一个漏洞允许经授权的恶意用户传递大值给循环，从而在服务器造成拒绝服务 (DOS) 攻击。严重性我们认为此问题的严重性属于中等。汇总 IPv6 和代理服务器基于 IP 的认证规则避开描述发现有一个漏洞在某些情况下可能会避开 phpMyAdmin 基于 IP 的认证规则。

当 phpMyAdmin 在代理服务器环境中与 IPv6 搭配使用，且代理服务器处于允许的范围内，但不允许存在攻击性计算机时，此漏洞可允许攻击性计算机进行连接，而不管 IP 规则如何。严重性我们认为此漏洞很严重缓解因素 * phpMyAdmin 安装必须以基于 IP 的允许/拒绝规则运行 * phpMyAdmin 安装必须在一个或多个代理服务器后方运行，其应“允许”代理服务器并“拒绝”攻击者 * 代理服务器和 phpMyAdmin 之间的连接必须通过 IPv6 执行汇总检测用户是否已登录描述据报告有一个漏洞允许攻击者确定用户是否已登录 phpMyAdmin。

用户的会话、用户名和密码都不会因此漏洞而遭到破坏。严重性我们认为此漏洞不严重。汇总绕过 URL 重定向保护描述发现有一个漏洞允许攻击者将用户重定向到恶意网页。严重性我们认为此漏洞的严重性属于中等汇总 url.php 中的引用泄漏描述发现有一个漏洞允许攻击者通过文件 url.php 确定 phpMyAdmin 主机位置。严重性我们认为此漏洞的严重性属于中等。汇总反射型文件下载攻击描述发现有一个漏洞可能允许攻击者触发用户下载特别构建的恶意 SVG 文件。
严重性我们认为此问题的严重性属于中等。汇总 ArbitraryServerRegexp 绕过描述据报告 $cfg['ArbitraryServerRegexp'] 配置指令有一个漏洞。攻击者可以绕过 ArbitraryServerRegexp 定义的服务器的方式重复使用某些 cookie 值。严重性我们认为此漏洞很严重。缓解因素只有使用“$cfg['ArbitraryServerRegexp']”的服务器容易遭受此攻击。汇总将密码变更为极长字符串的拒绝服务 (DOS) 攻击描述经认证的用户可通过在变更密码对话框中输入极长的密码，触发拒绝服务 (DOS) 攻击。严重性我们认为此漏洞很严重。汇总作为 CGI 运行时发生的远程代码执行漏洞描述发现有一个漏洞允许用户在 phpMyAdmin 作为 CGI 应用程序运行时，对服务器执行远程代码执行攻击。在某些服务器配置下，用户可传递由 generator_plugin.sh 文件作为命令行参数执行的查询字符串。严重性我们认为此漏洞很严重。缓解因素文件“/libraries/plugins/transformations/generator_plugin.sh”可删除。在某些服务器配置下，只要删除此文件的执行权限就足够了。汇总 dbase 扩展的拒绝服务 (DOS) 攻击描述发现有一个缺陷，在某些情况下，phpMyAdmin 可能无法在导入 ESRI 文件期间删除临时文件。严重性我们认为此漏洞不严重。缓解因素只有在以 dbase 扩展模块运行 PHP 时才存在此漏洞，这并非默认提供、在大多数 Linux 发行版本中都不提供，也不以 PHP7 编译。汇总 PHP 使用 dbase 扩展运行时的远程代码执行漏洞描述发现有一个漏洞，其允许使用 phpMyAdmin 对某些 PHP 安装触发远程代码执行攻击。严重性我们认为此漏洞很严重。缓解因素只有在以 dbase 扩展模块运行 PHP 时才存在此漏洞，这并非默认提供、在大多数 Linux 发行版本中都不提供，也不以 PHP7 编译。