phpMyAdmin BLOB Streaming 多个输入验证漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183272 漏洞类型 输入验证
发布时间 2009-03-26 更新时间 2009-04-16
CVE编号 CVE-2009-1149 CNNVD-ID CNNVD-200903-473
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-473
|漏洞详情
phpMyAdmin是一个免费的MySQL数据管理工具软件,PHP写的旨在处理在万维网和操作MySQL。phpMyAdmin支持广泛的MySQL管理操作(管理数据库,表,字段,关系,索引,用户,权限,等等),并可以直接执行任何SQL语句。phpMyAdmin3.1.3.1版本之前的版本的BLOB流动特性的bs_disp_as_mime_type.php中存在CRLF注入漏洞。远程攻击者可以借助(1)c_type及其可能的(2)file_type参数,注入任意HTTP页眉并执行HTTP响应分裂攻击。
|参考资料

来源:www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security/PMASA-2009-1.php
来源:MISC
链接:http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/branches/MAINT_3_1_3/phpMyAdmin/bs_disp_as_mime_type.php?r1=12303&r2=12302&pathrev=12303
来源:SECUNIA
名称:34642
链接:http://secunia.com/advisories/34642
来源:SECUNIA
名称:34468
链接:http://secunia.com/advisories/34468
来源:SUSE
名称:SUSE-SR:2009:008
链接:http://lists.opensuse.org/opensuse-security-announce/2009-04/msg00003.html