phpMyAdmin密码猜测漏洞

CVE编号

CVE-2016-1927

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-02-20

漏洞描述

phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。
phpMyAdmin存在安全漏洞，phpMyAdmin‘Math.random()’函数未能提供加密的随机数，允许远程攻击者可利用该漏洞猜测密码。

解决建议

用户可参考如下厂商提供的安全补丁以修复该漏洞：
https://www.phpmyadmin.net/security/PMASA-2016-4/

参考链接
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176483.html
http://lists.fedoraproject.org/pipermail/package-announce/2016-February/176739.html
http://lists.opensuse.org/opensuse-updates/2016-02/msg00028.html
http://lists.opensuse.org/opensuse-updates/2016-02/msg00049.html
http://www.debian.org/security/2016/dsa-3627
http://www.phpmyadmin.net/home_page/security/PMASA-2016-4.php
https://github.com/phpmyadmin/phpmyadmin/commit/8dedcc1a175eb07debd4fe116407c...
https://github.com/phpmyadmin/phpmyadmin/commit/912856b432d794201884c36e5f390...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.0	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.10	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.11	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.12	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.2	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.3	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.4	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.5	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.6	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.7	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.8	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.0.10.9	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.0	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.1.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.10	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.11	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.12	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.13	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.13.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.14.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.15	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.15.1	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.15.2	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.15.3	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.2	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.3	-
	运行在以下环境
	应用	phpmyadmin	phpmyadmin	4.4.4	-
	运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.5	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.6	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.6.1	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.7	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.8	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.4.9	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.0	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.0.1	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.0.2	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.1	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.2	-
运行在以下环境
应用	phpmyadmin	phpmyadmin	4.5.3	-
运行在以下环境
系统	debian_7	phpMyAdmin	*		Up to (excluding) 4:3.4.11.1-2+deb7u3
运行在以下环境
系统	debian_8	phpMyAdmin	*		Up to (excluding) 4:4.2.12-2+deb8u2
运行在以下环境
系统	fedora_22	phpMyAdmin	*		Up to (excluding) 4.5.4-1.fc22
运行在以下环境
系统	fedora_23	phpMyAdmin	*		Up to (excluding) 4.5.4.1-1.fc23
运行在以下环境
系统	fedora_EPEL_5	phpMyAdmin	*		Up to (excluding) 4.0.10.14-1.el5
运行在以下环境
系统	fedora_EPEL_6	phpMyAdmin	*		Up to (excluding) 4.0.10.14-1.el6
运行在以下环境
系统	fedora_EPEL_7	phpMyAdmin	*		Up to (excluding) 4.4.15.4-1.el7
运行在以下环境
系统	opensuse_Leap_42.1	phpMyAdmin	*		Up to (excluding) 4.4.15.4-13.1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型