- A+
数千个网站的管理员正在等待更新启动
根据国际网络安全研究所数字取证专家的报告, phpMyAdmin的管理员,最受欢迎和广泛使用的MySQL数据库管理系统之一,刚刚推出了其软件的更新版本,目的是修补各种漏洞被认为是关键的,可能允许恶意行为者远程控制受影响的Web服务器。
phpMyAdmin项目运营商已经通过他们博客上的帖子向用户发出了更新通知,其目的是让网站管理员,网络托管服务提供商和其他用户准备好安装关键更新的最佳方式。
“我们采用其他项目的开发人员使用的技术,例如Mediawiki和类似项目,预计安全补丁的发布,允许phpMyAdmin用户准备他们的系统进行更新”,提到网络安全和数字取证专家Isaac Bennetch phpMyAdmin的。
phpMyAdmin软件是一个免费的开源管理工具,可以通过Web浏览器使用非常简单的图形界面来操作MySQL数据库。
根据数字取证专家的说法,几乎所有的网络托管服务都在其控制面板中预先安装了phpMyAdmin,以帮助网站管理员以最简单的方式管理他们的数据库,如WordPress,Joomla和其他内容管理系统。
除了纠正几个错误之外,phpMyAdmin开发人员还评论说,更新将主要关注4.8.4之前的软件版本中存在的三个关键安全漏洞:
- 包含本地文件(CVE-2018-19968)
4.0和4.8.3之间的phpMyAdmin版本中存在本地文件包含漏洞。 此漏洞可能允许远程攻击者通过其转换功能访问服务器本地文件中的敏感内容。
- 伪造的跨站请求(CSRF)/ XSRF(CVE-2018-19969)
从4.7.0到4.7.6和4.8.0到4.8.3的phpMyAdmin版本包括一个跨站点请求欺骗漏洞,如果被利用,将允许黑客执行恶意SQL操作。 这些有害活动包括更改数据库名称,创建新的内容表或删除管理配置文件。
- XSS漏洞(CVE-2018-19970)
该软件还在其导航树中显示XSS漏洞,该漏洞影响4.0和4.8.3之间的版本,因此黑客可以使用专门设计的软件包将恶意代码注入受影响的系统。
根据phpMyAdmin的开发人员的说法,4.8.4软件版本将解决以前版本中发现的三个关键漏洞。 此外,软件管理员稍后将推出一些额外的更新补丁。
最后,phpMyAdmin经理强烈建议网站管理员和托管服务提供商在可用时立即安装更新补丁。
