Os desenvolvedores do phpMyAdmin sistemas de gerenciamento de banco de dados MySQL, lançaram uma versão atualizada 4.8.4 de seu software para corrigir várias vulnerabilidades importantes, afim de evitar que atacantes remotos controlem os servidores web afetados.
“Somos inspirados pelo fluxo de trabalho de outros projetos (como Mediawiki e outros) que anunciam antecipadamente qualquer lançamento de segurança para permitir que os mantenedores de pacotes e provedores de hospedagem se preparem. Estamos experimentando para ver se esse fluxo de trabalho é adequado para o nosso projeto, “Isaac Bennetch, gerente de lançamento do phpMyAdmin, reportou ao The Hacker News.
Como ferramenta de administração gratuita e de código aberto o phpMyAdmin é utilizado para gerenciar bancos de dados MySQL, através de uma interface gráfica intuitiva no navegador da web.
Em geral todos os serviços de hospedagem pré-instalam o phpMyAdmin com seus painéis de controle facilitando os webmasters no gerenciamento de seus bancos de dados, incluindo plataformas de gerenciamento de conteúdo, WordPress, Joomla, Drupal, entre outros.
Conforme algumas correções de bugs, existem basicamente três vulnerabilidades de segurança críticas que afetam as versões do phpMyAdmin antes do release 4.8.4, relatada pelo phpMyAdmin.
Fonte: The Hacker News (2018)
Os detalhes das três vulnerabilidades recém descobertas do phpMyAdmin são descritas abaixo:
1.) Inclusão de arquivos locais (CVE-2018-19968) – as versões phpMyAdmin de pelo menos 4.0 a 4.8.3 incluem uma falha de inclusão de arquivo local que pode permitir que um atacante remoto leia conteúdos sensíveis de arquivos locais no servidor por meio de seu recurso de transformação .
“O invasor deve ter acesso às tabelas do phpMyAdmin Configuration Storage, embora possam ser facilmente criadas em qualquer banco de dados ao qual o invasor tenha acesso. Um invasor deve ter credenciais válidas para efetuar login no phpMyAdmin; essa vulnerabilidade não permite que um invasor contorne o sistema de login. ”
2.) Cross-Site Request Falsificação (CSRF), XSRF (CVE-2018-19969) – o phpMyAdmin versões 4.7.0 a 4.7.6 e 4.8.0 a 4.8.3 inclui uma falha CSRF e XSRF, que se explorada, poderia permitir que invasores “executem operações SQL prejudiciais, como renomear bancos de dados, criar novas tabelas, rotinas, excluir páginas, adicionar, excluir usuários, atualizar senhas de usuários, matar processos SQL” apenas induzindo as vítimas a abrirem links especialmente criados.
3.) Cross-site scripting (XSS) (CVE-2018-19970) – O software também inclui uma vulnerabilidade de script entre sites em sua árvore de navegação, que afeta versões de pelo menos 4.0 a 4.8.3, permitindo o invasor injetar código malicioso no painel através de um nome de banco de dados e tabela especialmente criado.
Para sanar todas as vulnerabilidades de segurança listadas acima, os desenvolvedores do phpMyAdmin lançaram a última versão 4.8.4, bem como patches separados para algumas versões anteriores.
É altamente recomendado que os administradores de sites e provedores de hospedagem instalem as atualizações ou correções mais recentes imediatamente.
Fonte: The Hacker News
