2018年12月11日,phpmyadmin更新到4.8.4版本,修补了几个重要漏洞。phpMyAdmin项目组通过其博客发布了关于最新安全更新的提示,可能是第一次作为试验性的做法。通过发布安全公告可以帮助网站管理员,托管服务提供商和软件包管理器更好地为安全发布做好准备。
“我们受到其他项目(如Mediawiki和其他项目)的工作流程的启发,这些项目经常会提前发布任何安全版本,以便让软件包维护人员和托管服务提供商做好准备。我们正在尝试查看这样的工作流程是否适合我们的项目, “phpMyAdmin发布经理Isaac Bennetch告诉The Hacker News。
phpMyAdmin在其最新的咨询中透露,除了修补大量bug之外,还修补了phpMyAdmin4.8.4版本之前的三个重要漏洞。
新的phpMyAdmin漏洞
三个新发现的 phpMyAdmin漏洞的详细信息如下所述:
1。)本地文件包含(CVE-2018-19968) -至少从4.0到4.8.3的phpMyAdmin版本就有一个本地文件包含漏洞,可允许远程攻击者通过转换功能从服务器上的本地文件中获取敏感内容。
“攻击者必须能够访问phpMyAdmin配置存储表,尽管可以在攻击者访问的任何数据库中轻松创建这些表。攻击者必须拥有有效的凭据才能登录phpMyAdmin; 此漏洞不允许攻击者绕过登录系统。“
2.)跨站请求伪造(CSRF)/ XSRF(CVE-2018-19969) - phpMyAdmin4.7.0到4.7.6 版本和4.8.0到4.8.3都有CS有CSRF/XSRF漏洞,如果被利用,可以允许攻击者“通过欺骗受害者打开特制链接”来“执行有害的SQL操作,例如重命名数据库、创建新表/例程、删除设计器页面、添加/删除用户、更新用户密码、终止SQL进程”。
3.)跨站点脚本(XSS)(CVE-2018-19970) -该软件的导航树中有一个跨站点脚本漏洞,该漏洞影响至少4.0到4.8.3版本,攻击者可以使用它通过特制的数据库/表名将恶意代码注入仪表板。
为了解决上面列出的所有安全漏洞,phpMyAdmin开发人员发布了最新版本4.8.4,以及一些以前版本的单独补丁。
强烈建议网站管理员和托管服务提供商立即安装最新的更新或补丁。