Login

로그인해주세요

장바구니

기술지원

apps바로가기

shopping_bag

phpmyadmin 취약점 경고

2012-06-27 

□ 개요 
o phpmyadmin 의 외부 php code-injection 취약점이 문제가 되고 있습니다. 

□ 취약 대상 
phpMyAdmin phpMyAdmin 3.1.1 0
phpMyAdmin phpMyAdmin 3.0.1 
phpMyAdmin phpMyAdmin 3.0 
phpMyAdmin phpMyAdmin 2.11.9 4
phpMyAdmin phpMyAdmin 2.11.9 .2
phpMyAdmin phpMyAdmin 2.11.9 .1
phpMyAdmin phpMyAdmin 2.11.9 
phpMyAdmin phpMyAdmin 2.11.8 
phpMyAdmin phpMyAdmin 2.11.7 
phpMyAdmin phpMyAdmin 2.11.5 
phpMyAdmin phpMyAdmin 2.11.4 
phpMyAdmin phpMyAdmin 2.11.1 
phpMyAdmin phpMyAdmin 2.8.2 
phpMyAdmin phpMyAdmin 2.8.1 
phpMyAdmin phpMyAdmin 2.8 .4
phpMyAdmin phpMyAdmin 2.8 .3
phpMyAdmin phpMyAdmin 2.8 .1
phpMyAdmin phpMyAdmin 2.7 -pl1
phpMyAdmin phpMyAdmin 2.7 
phpMyAdmin phpMyAdmin 2.6.2 
phpMyAdmin phpMyAdmin 2.6 .0pl1
phpMyAdmin phpMyAdmin 2.6 
phpMyAdmin phpMyAdmin 2.5.7 
phpMyAdmin phpMyAdmin 2.5.5 
phpMyAdmin phpMyAdmin 2.5.4 
phpMyAdmin phpMyAdmin 2.5.1 
phpMyAdmin phpMyAdmin 2.2.6 
phpMyAdmin phpMyAdmin 2.2.3 
phpMyAdmin phpMyAdmin 3.0.1.1
phpMyAdmin phpMyAdmin 2.7.0-pl2
phpMyAdmin phpMyAdmin 2.11.9.3
phpMyAdmin phpMyAdmin 2.11.8.1
phpMyAdmin phpMyAdmin 2.11.5.2
phpMyAdmin phpMyAdmin 2.11.5.1
phpMyAdmin phpMyAdmin 2.11.2.2
phpMyAdmin phpMyAdmin 2.11.2.1
phpMyAdmin phpMyAdmin 2.11.1.2
phpMyAdmin phpMyAdmin 2.11.1.1

□ 취약점 세부 내용 
  -. /tmp 하단에 a, b 등 파일 생성.
  -. 트래픽 상승(외부서버 공격).

□ 위험성 
해커가 웹서버 프로세스에 악의적인 php 코드를 삽입하고 실행하기 위해서 이 취약점을 이용
합니다. 이 취약점은 리눅스 시스템 및 기타 응용프로그램의 손상도 가능하며 다른 공격
도 가능합니다. 

□ 해결 방안 
1. 아래 버전 이상의 phpmyadmin 업그레이드

  - phpMyAdmin phpMyAdmin 3.5.1 Version compatible with PHP 5.2 and MySQL 5 
    http://sourceforge.net/projects/phpmyadmin/files/phpMyAdmin/3.5.1/phpMyAdmin-3.5.1-all-languages.tar.gz/download#!md5!28c3c913785ae201af269089b699141a

  - phpMyAdmin phpMyAdmin 2.11.9.5 ? Version compatible with PHP 4+ and MySQL 3+ 
    URL : http://sourceforge.net/projects/phpmyadmin/files%2FphpMyAdmin%2F211.11.3%2FphpMyAdmin-2.11.11.3-all-languages.tar.gz/download#!md5!a4a9bdcf6a48d02895034e41844e7432
 

2. phpmyadmin 접근 디렉토리 이름 변경. 

-. zemu 라는 phpmyadmin 해킹툴로 검색되는 아래의 디렉토리 명을 피해 생성. 

//phpmyadmin/
//phpMyAdmin/
//PMA/
//pma/
//admin/
//dbadmin/
//sql/
//mysql/
//myadmin/
//MyAdmin/
//myadmin/
//mysqladmin/ 

-. phpmyadmin 설치 완료후 setup.php 파일 삭제.