El proyecto
phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más
populares, dio un aviso el pasado domingo en su blog avisando sobre la última
actualización de seguridad, algo que no habían hecho antes.
“Nos
inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con
anticipación cualquier lanzamiento de seguridad para permitir que los
encargados de paquetes y proveedores de alojamiento se preparen. Estamos
experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”,
explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.
Además de
la típica corrección de errores, esta versión corrige tres vulnerabilidades
críticas de seguridad.
Vulnerabilidades
corregidas en la versión 4.8.4:
LFI (CVE-2018-19968):
Las
versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de
archivos locales que podría permitir la lectura de archivos locales del
servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante
debe tener acceso a las tablas de almacenamiento de configuración de
phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que
tenga acceso el atacante.
CSRF/XSRF
(CVE-2018-19969):
Las
versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto de Cross-site
Request Forgery que de ser explotado, permitiría a los atacantes realizar
operaciones SQL malintencionadas.Para explotar esto únicamente deberían de
convencer a las víctimas de que abran enlaces especialmente diseñados.
XSS
(CVE-2018-19970):
Hay un
fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un
atacante puede inyectar código a través de un nombre de tabla/base de datos
especialmente diseñado.
Recomendación
Recomendación
Se
recomienda a todos los usuarios de este software que actualicen a la última
versión cuanto antes.
Mas información:
- Descarga de la versión 4.8.4: https://www.phpmyadmin.net/files/4.8.4/
- Comunicado de pre-lanzamiento: https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/
Fuente: Hispasec