24 de mayo de 2015

PHPMYADMIN. Detectadas dos importantes nuevas vulnerabilidades

Se ha descubierto que algunas de las últimas versiones de phpMyAdmin tienen dos importantes fallos de seguridad. 
phpMyAdmin es una herramienta ampliamente utilizada por los administradores de sistemas y de bases de datos para manejar la administración de MySQL a través de una sencilla interfaz web. Esta software puede crear y eliminar bases de datos así como crear, eliminar, modificar o editar cualquier tabla, es decir, es capaz de administrar totalmente una base de datos MySQL.
Detalle e Impacto de vulnerabilidades
  • La primera vulnerabilidad corresponde a una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF), si un usuario es engañado para acceder a una URL específicamente manipulada, sería posible modificar el fichero de configuración que se generó en el proceso de instalación. Este fallo no ha sido catalogado como crítico porque sólo afecta a dicho proceso de generación, y no al fichero de configuración que se está utilizando en la herramienta. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.
  • La segunda vulnerabilidad está relacionada con la llamada de la API a GitHub, mediante este fallo es posible llevar a cabo un ataque MITM (Man In The Middle), esta vulnerabilidad es más importante que la anterior ya que no sólo se interceptaría la información sino que también podría ser cambiada. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.
Versiones phpMyAdmin afectadas
Las versiones afectadas son las siguientes:
  • phpMyAdmin 4.0.X anterior a la version 4.0.10.10
  • phpMyAdmin 4.2.X anterior a la version 4.2.13.3
  • phpMyAdmin 4.3.X anterior a la version 4.3.13.1
  • phpMyAdmin 4.4.X anterior a la version 4.4.6.1
Recomendación
Actualizar cuanto antes a la versión que corresponda de las siguientes, para evitar que un atacante explote dichos fallos.
Actualmente ya se encuentran disponibles las últimas versiones de phpMyAdmin que corrigen estos fallos de seguridad, las versiones que no tienen estos fallos son:
  • phpMyAdmin 4.0.10.10 y posteriores
  • phpMyAdmin 4.2.13.3 y posteriores
  • phpMyAdmin 4.3.13.1 y posteriores
  • phpMyAdmin 4.4.6.1 y posteriores
Fuente: INCIBE