針對程序: Francisco Burzi PHP-Nuke
PHP-Nuke是一個網站創建和管理工具,它可以用很多數據庫軟件作為后端,比如MySQL、PostgreSQL、mSQL、Interbase、Sybase等。
PHP-Nuke在腳本中的調試信息處理存在問題,可以使遠程攻擊者得到數據庫查詢請求的一些敏感信息。
sql_layer.php腳本有一個調試功能可以被攻擊者利用來獲得所有PHP-Nuke的查詢請求信息。對調試功能的訪問并不只限于管理員。遠程攻擊者可能利用這個漏洞得到數據庫相關的敏感信息并進一步攻擊數據庫所在的Web服務器。
解決方案: 如果您不能立刻安裝補丁或者升級,NSFOCUS建議您采取以下措施以降低威脅:
* 關閉SQL調試功能。
廠商補丁:
Francisco Burzi
---------------
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
