DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
phpMyAdmin phát hành bản cập nhật quan trọng – Hãy vá trang web của bạn ngay!
phpMyAdmin là một công cụ nguồn mở miễn phí được viết bằng PHP để xử lý quản trị của MySQL thông qua một trình duyệt web. Nó có thể thực hiện nhiều tác vụ như tạo, sửa đổi hoặc xóa bỏ cơ sở dữ liệu, bảng, các trường hoặc bản ghi; thực hiện báo cáo SQL; hoặc quản lý người dùng và cấp phép. phpMyAdmin được sử dụng bởi rất nhiều quản trị viên của các website.
Các nhà phát triển của phpMyAdmin, một trong những hệ thống quản lý cơ sở dữ liệu MySQL phổ biến và được sử dụng rộng rãi nhất, vừa phát hành phiên bản cập nhật phần mềm 4.8.5 để vá một số lỗ hổng quan trọng có thể cho phép kẻ tấn công từ xa kiểm soát các máy chủ web bị ảnh hưởng.
Trước đó, hôm thứ 3, dự án phpMyAdmin đã đưa ra một thông báo về bản cập nhật mới nhất trên blog của mình để thông báo trước có thể giúp quản trị viên trang web, nhà cung cấp dịch vụ lưu trữ và các nhà quản lý gói tin chuẩn bị tốt hơn cho bản phát hành.
phpMyAdmin là một công cụ quản trị nguồn mở miễn phí để quản lý cơ sở dữ liệu MySQL bằng giao diện đồ họa đơn giản trên trình duyệt web.
Hầu như mọi dịch vụ lưu trữ web đều cài đặt sẵn phpMyAdmin với bảng điều khiển của họ để giúp quản trị viên dễ dàng quản lý cơ sở dữ liệu cho các trang web, bao gồm WordPress, Joomla và nhiều nền tảng quản lý nội dung khác.
Bên cạnh nhiều bản vá lỗi, có ba lỗ hổng an ninh quan trọng ảnh hưởng đến các phiên bản phpMyAdmin trước 4.8.5.
Lỗ hổng phpMyAdmin mới
Dưới đây là chi tiết về hai lỗ hổng phpMyAdmin mới được phát hiện:
Quản trị viên trang web và nhà cung cấp dịch vụ lưu trữ được khuyến khích cài đặt bản cập nhật hoặc bản vá mới nhất sớm nhất có thể.
Các nhà phát triển của phpMyAdmin, một trong những hệ thống quản lý cơ sở dữ liệu MySQL phổ biến và được sử dụng rộng rãi nhất, vừa phát hành phiên bản cập nhật phần mềm 4.8.5 để vá một số lỗ hổng quan trọng có thể cho phép kẻ tấn công từ xa kiểm soát các máy chủ web bị ảnh hưởng.
Trước đó, hôm thứ 3, dự án phpMyAdmin đã đưa ra một thông báo về bản cập nhật mới nhất trên blog của mình để thông báo trước có thể giúp quản trị viên trang web, nhà cung cấp dịch vụ lưu trữ và các nhà quản lý gói tin chuẩn bị tốt hơn cho bản phát hành.
phpMyAdmin là một công cụ quản trị nguồn mở miễn phí để quản lý cơ sở dữ liệu MySQL bằng giao diện đồ họa đơn giản trên trình duyệt web.
Hầu như mọi dịch vụ lưu trữ web đều cài đặt sẵn phpMyAdmin với bảng điều khiển của họ để giúp quản trị viên dễ dàng quản lý cơ sở dữ liệu cho các trang web, bao gồm WordPress, Joomla và nhiều nền tảng quản lý nội dung khác.
Bên cạnh nhiều bản vá lỗi, có ba lỗ hổng an ninh quan trọng ảnh hưởng đến các phiên bản phpMyAdmin trước 4.8.5.
Lỗ hổng phpMyAdmin mới
Dưới đây là chi tiết về hai lỗ hổng phpMyAdmin mới được phát hiện:
- Arbitrary file read vulnerability - (CVE-2019-6799)
Khi cấu hình AllowArbitraryServer được đặt thành true, với việc sử dụng máy chủ MySQL giả mạo, kẻ tấn công có thể đọc bất kỳ tệp nào trên máy chủ mà người dùng của máy chủ web có thể truy cập.
phpMyadmin cố gắng chặn việc sử dụng LOAD DATA INFILE, nhưng do lỗi trong PHP, kiểm tra này không được thực hiện. Ngoài ra, khi sử dụng tiện ích mở rộng 'mysql', mysql.allow_local_infile được bật theo mặc định. Cả hai điều kiện này cho phép cuộc tấn công xảy ra.
- SQL injection - (CVE-2019-6798)
Một lỗ hổng đã được báo cáo trong đó tên người dùng được chế tạo đặc biệt có thể được sử dụng để kích hoạt một cuộc tấn công SQL injection thông qua tính năng thiết kế.
Quản trị viên trang web và nhà cung cấp dịch vụ lưu trữ được khuyến khích cài đặt bản cập nhật hoặc bản vá mới nhất sớm nhất có thể.
Theo: phpmyadmin blog