فا

‫ انتشار به‌روزرسانی امنيتی مهم phpMyAdmin

#‫phpMyAdmin یک ابزار مدیریتی رایگان و متن‌باز برای مدیریت پایگاه‌‌های داده‌ی #‫MySQL است که از یک واسط گرافیکی ساده بر روی مرورگر وب استفاده می‌کند. تقریباً هر سرویس میزبانی وب، phpMyAdmin را با پنجره‌های کنترل خود پیش‌نصب می‌کند تا به وب‌مسترها کمک کنند پایگاه‌های داده‌ی خود را برای وب‌سایت‌ها، از جمله WordPress،JoomlA و بسیاری از بسترهای مدیریت محتوای دیگر، به آسانی مدیریت کنند.
توسعه‌دهندگان این سیستم مدیریتی محبوب، به تازگی نسخه‌ی به‌روزرسانی‌شده‌ی 4.8.4 از این نرم‌افزار را منتشر ساخته‌اند. این به‌روزرسانی، علاوه بر رفع بسیاری از اشکالات، سه آسیب‌پذیری امنیتی مهم را که نسخه‌های پیش از 4.8.4 را تحت‌تأثیر قرار می‌دهند، برطرف ساخته است. سوءاستفاده از این سه آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد تا کنترل کارگزاران وب متأثر را به‌دست گیرند. جزئیات این سه آسیب‌پذیری بحرانی جدید phpMyAdmin به شرح زیر است:
1. Local file inclusion (CVE-2018-19968): نسخه‌‌های 4.0 تا 4.8.3 از phpMyAdmin دارای نقص local file inclusion است که به یک مهاجم راه دور اجازه می‌دهد محتویات حساس را از فایل‌های محلی کارگزار از طریق ویژگی انتقال (transformation) آن بخواند.
2. Cross-Site Request Forgery (CSRF/XSRF) (CVE-2018-19969): نسخه‌های 4.7.0 تا 4.7.6 و 4.8.0 تا 4.8.3 از phpMyAdmin دارای نقص CSRF/XSRF هستند. اگر این نقص مورد سوءاستفاده قرار گیرد، به مهاجمان اجازه می‌دهد عملیات مخربی بر روی SQL مانند تغییرنام پایگاه‌‌های داده، ساخت روتین‌ها یا جدول‌های جدید، اضافه یا حذف کاربران جدید، به‌روزرسانی گذرواژه‌های کاربر و از‌بین‌بردن فرایند‌های SQL تنها با متقاعد‌کردن قربانیان به بازکردن لینک‌های ساختگی خاص، انجام دهند.
3. Cross-site scripting (XSS) (CVE-2018-19970): آسیب‌پذیری Cross-site scripting، نسخه‌های 4.0 تا 4.8.3 از این نرم‌افزار را تحت‌تأثیر قرار می‌دهد. با سوءاستفاده از این آسیب‌پذیری، مهاجم می‌تواند کد مخرب را از طریق یک نام پایگاه‌داده یا جدول ساختگی خاص تزریق کند.
جهت رفع تمامی آسیب‌پذیری‌های امنیتی فوق، توسعه‌دهندگان phpMyAdmin آخرین نسخه‌ی 4.8.4 و هچنین وصله‌های جدا برای برخی نسخه‌های قبلی منتشر کرده‌اند.
به مدیران وب‌سایت و ارایه‌دهندگان میزبان شدیداً توصیه می‌شود هر چه سریع‌تر آخرین به‌روزرسانی یا وصله‌ها را نصب نمایند.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

 
تاریخ ایجاد: 27 آذر 1397

برچسب‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0