JVNDB-2012-001388

JVNDB-2012-001388
PHP における SQL インジェクション攻撃を行われる脆弱性
概要
PHP は、環境変数のインポート中の magic_quotes_gpc ディレクティブへの一時的変更を適切に処理しないため、容易に SQL インジェクション攻撃を行われる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 6.8 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

The PHP Group PHP 5.3.10 未満アップル Apple Mac OS X v10.6.8 Apple Mac OS X v10.7 から v10.7.4 Apple Mac OS X v10.8 および v10.8.1 Apple Mac OS X Server v10.6.8 Apple Mac OS X Server v10.7 から v10.7.4

想定される影響
第三者により、main/php_variables.c、sapi/cgi/cgi_main.c、および sapi/fpm/fpm/fpm_main.c に関連する巧妙に細工された要求を介して、容易に SQL インジェクション攻撃を行われる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
Canonical Ubuntu Security Notice : USN-1358-1 Fedora Project Fedora Update Notification : FEDORA-2012-6911 Fedora Update Notification : FEDORA-2012-6907 Novell opensuse-security-announce : openSUSE-SU-2012:0426 The PHP Group The PHP Group : 323016 The PHP Group : php5_5.3.2-1ubuntu4.13.diff.gz アップル Apple Mailing Lists : APPLE-SA-2012-09-19-2 Apple Security Updates : HT5501 Apple セキュリティアップデート : HT5501 レッドハット Red Hat Security Advisory : RHSA-2013:1307
CWEによる脆弱性タイプ一覧 CWEとは?
不適切な入力確認(CWE-20) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2012-0831
参考情報
JVN : JVNVU#381963 National Vulnerability Database (NVD) : CVE-2012-0831 関連文書 : PHP CVE-2012-0831 'magic_quotes_gpc' Directive Security Bypass Weakness
更新履歴
[2012年02月14日] 掲載 [2012年09月05日] ベンダ情報：Fedora Project (FEDORA-2012-6911) を追加ベンダ情報：Fedora Project (FEDORA-2012-6907) を追加 [2012年10月02日] ベンダ情報：Novell (openSUSE-SU-2012:0426) を追加ベンダ情報：Ubuntu (USN-1358-1) を追加 [2012年10月16日] ベンダ情報：アップル (HT5501) を追加 [2013年12月02日] CVSS による深刻度：内容を更新影響を受けるシステム：アップル (HT5501) の情報を追加ベンダ情報：The PHP Group (php5_5.3.2-1ubuntu4.13.diff.gz) を追加ベンダ情報：アップル (APPLE-SA-2012-09-19-2) を追加ベンダ情報：レッドハット (RHSA-2013:1307) を追加 CWE による脆弱性タイプ一覧：内容を更新参考情報：関連文書 (PHP CVE-2012-0831 'magic_quotes_gpc' Directive Security Bypass Weakness) を追加


公表日	2012/02/10
登録日	2012/02/14
最終更新日	2013/12/02

PHP における SQL インジェクション攻撃を行われる脆弱性