オルタナティブ・ブログ > 穂苅智哉の Webビジネス!日進月歩 >

文系学部からITベンチャー企業へ進んだ男が考えていること、感じたこと、未来のことなどを書きます。

phpMyAdminを例に脆弱性情報を見てみよう

»

internet-2515611_1280.jpg

phpMyAdminの複数の深刻な脆弱性情報(Severe(重大): CVE-2019-12616, Serious: CVE-2019-11768)が発表されました。

特に重大なのが、phpMyAdmin4.8.5以前のバージョンの場合に、SQLインジェクションが行われてしまう可能性が見つかったことです。
この話題、何がそこまで大変かというと、
サイトへ不正なSQL文を実行させることができてしまいそれによってデータベースを不正に操作できてしまうことです。例えばユーザーの情報などが格納されているデータベースだった場合にはユーザー情報が書き換えられてしまったり、ユーザー情報が盗まれてしまったりされてしまいます。
これでは会社などの場合信用問題にもなってしまう大きな問題です。

Webサイトに携わっている人であれば使ったことがある方も多いのが、phpMyAdminです。 phpMyAdminは、ブラウザ上でMySQL(MariaDB)のデータベースを管理するソフトのことですのでphpMyAdminで操作していたデータベースの中身が盗まれたり改ざんされる可能性があるということです。 これは、かなり深刻な脆弱性と言えます。

CVE

この情報は、CVE-2019-11768などという識別子が振られています。 そもそもCVEは、Common Vulnerabilities and Exposures(共通脆弱性識別子)といい、製品中の脆弱性を対象として一意の識別番号を付与することにより脆弱性情報の把握や管理がしやすくなるようにとつけられるようになりました。

CVE脆弱性

CVE-2019-11768 この脆弱性の情報には、以下のように書いてあります。

An issue was discovered in phpMyAdmin before 4.9.0.1. A vulnerability was reported where a specially crafted database name can be used to trigger an SQL injection attack through the designer feature.

なかなか大変ではありますが、CVEの情報をこうやって追っかけていき自分の関係するシステムへの重大脆弱性の場合は対応を行えるようにしておくのがBestだと思います。(多くは、専門の業者などに依頼をして対応してもらうような流れが多いかと。)

英語サイトになってしまうので、SIOSさんのセキュリティブログなどでキャッチアップできるといいのかなと考えています。
SIOS SECURYTY BLOG OSS脆弱性ブログ

私、穂苅智哉の情報は、以下のFacebookページTwitterアカウントを御覧ください!
※友達申請をいただける方は、お手数ですがメッセージを添えておねがいいたします。

Facebook
https://www.facebook.com/tomoya.hokari.79

Twitter
https://twitter.com/tomoyanhokarin

Comment(0)