Kritisk sikkerhedsbrist i phpMyAdmin

Illustration: phpAdmin
Det populære MySQL databaseværktøj, phpMyAdmin, anbefaler omgående patch til version 4.8.4 grundet alvorlige sikkerhedshuller.

Kritiske sikkerhedsbrister i phpMyAdmin, kan potentielt udnyttes af en angriber til at tiltvinge sig kontrol over påvirkede webservere. Derfor anbefaler phpMyAdmin, at man omgående patcher med version 4.8.4 for at lukke sikkerhedshullerne.

Det skriver The Hacker News

phpMyAdmin, er et populært MySQL databaseværktøj som del web-hosting tjenester pre-installerer med deres kontrolpaneler. Netop for at hjælpe webmasters med databasestyring. PhpMyAdmin er et gratis, open-source værktøj, som gør det muligt at administrere MySQL databaser med en simpel GU-interface som opereres over en internetbrowser.

Den store udbredelse af phpMyAdmin og sikkerhedshullernes alvorlighed taget i betragtning, valgte phpMyAdmin at annoncere patchen før den var klar, for at sikre at den blev anvendt hurtigt.

Sårbarheder

En af manglerne var en »local file inclusion« fejl, som eksisterede i version 4.0 og frem. Den gjorde det muligt for en angriber at aflæse lokale filer via phpMyAdmins transformation funktion.

Hackeren skulle i så fald også have adgang til phpMyAdmins Configuration Storage tabeller, men de kan oprettes i alle databaser som angriberen har adgang til. Angriberen skulle også have mulighed for log-in til phpMyAdmin, hvilket ingen af svaghederne umiddelbart muliggjorde.

Der var også mulighed for at gennemføre et Cross-Site Request Forgery angreb. Ved at lokke ofre til at åbne skræddersyede links, kunne det lade en angriber eksekvere skadelige SQL-operationer – så som ændre navn på databaser, skabe nye tabeller og rutiner, slette sider, tilføje og slette bruger, og opdatere kodeord. En tredje sårbarhed gjorde det muligt at indsætte skadelig kode ind i kontrolpanelet via navne på tabeller og databaser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere