Các nhà phát triển hệ thống quản lý cơ sở dữ liệu MySQL phpMyAdmin cho biết hôm nay phpMyAdmin tung bản cập nhật quan trọng 4.8.4.
phpMyAdmin tung bản cập nhật này để vá một số lỗ hổng quan trọng có thể cho phép kẻ tấn công từ xa kiểm soát các máy chủ web bị ảnh hưởng.
Dự án phpMyAdmin vào chủ nhật tuần trước cho biết sẽ tung ra bản cập nhật như một thử nghiệm để xem liệu việc thông báo trước có thể giúp quản trị viên trang web, nhà cung cấp dịch vụ lưu trữ và người quản lý package chuẩn bị tốt hơn cho việc phát hành bản cập nhật hay không.
“Chúng tôi học tập từ quy trình làm việc của các dự án khác (như Mediawiki và các dự án khác) thường thông báo trước bất kỳ bản phát hành bảo mật nào để các nhà bảo trì và nhà cung cấp dịch vụ lưu trữ có thời gian chuẩn bị. Chúng tôi đang thử nghiệm xem liệu quy trình làm việc đó có phù hợp với dự án của chúng tôi không”, quản lý phát hành phpMyAdmin Isaac Bennetch cho biết.
phpMyAdmin là một công cụ quản trị nguồn mở miễn phí để quản lý cơ sở dữ liệu MySQL bằng giao diện đồ họa đơn giản trên trình duyệt web.
Hầu như mọi dịch vụ lưu trữ web đều cài đặt sẵn phpMyAdmin với bảng điều khiển giúp quản trị viên web dễ dàng quản lý cơ sở dữ liệu trên các trang web bao gồm WordPress, Joomla và nhiều nền tảng quản lý nội dung khác.
phpMyAdmin tung bản cập nhật lần này chủ yếu để xử lý ba lỗ hổng bảo mật quan trọng ảnh hưởng đến các phiên bản phpMyAdmin.
Các lỗ hổng phpMyAdmin mới
Chi tiết về ba lỗ hổng phpMyAdmin mới được phát hiện trong lần phpMyAdmin tung bản cập nhật này như sau:
1. Local file inclusion (CVE-2018-19968) – Các phiên bản phpMyAdmin 4.0 đến 4.8.3 chứa lỗ hổng này, cho phép kẻ tấn công từ xa đọc được nội dung nhạy cảm từ các tệp cục bộ trên máy chủ thông qua tính năng chuyển đổi của nó.
2. Giả mạo yêu cầu đa trang web (CSRF) / XSRF (CVE-2018-19969) – Phiên bản phpMyAdmin 4.7.0 đến 4.7.6 và 4.8.0 đến 4.8.3 chứa lỗ hổng CSRF / XSRF này, nếu bị khai thác có thể cho phép kẻ tấn công “thực hiện các hoạt động SQL có hại như đổi tên cơ sở dữ liệu, tạo bảng / routine mới, xóa trang thiết kế, thêm / xóa người dùng, cập nhật mật khẩu người dùng, dừng quy trình SQL” chỉ bằng cách thuyết phục nạn nhân mở các liên kết tự tạo.
3. Cross-site scripting (XSS) (CVE-2018-19970) – Nằm trong bảng điều hướng, tác động đến các phiên bản từ 4.0 đến 4.8.3, kẻ tấn công có thể tiêm mã độc vào bảng điều khiển thông qua cơ sở dữ liệu / tên bảng tự tạo.
Để giải quyết tất cả các lỗ hổng bảo mật được liệt kê ở trên, phpMyAdmin tung bản cập nhật mới nhất 4.8.4, cũng như các bản vá riêng cho một số phiên bản trước.
Quản trị viên trang web và nhà cung cấp dịch vụ lưu trữ rất khuyến khích cài đặt bản cập nhật hoặc bản vá mới nhất ngay lập tức.
THN