Güvenlik Açıkları

phpMyAdmin Kritik Güncelleme Yayınladı- Sitelerinizi Güncelleyin

En popüler ve yaygın olarak kullanılan MySQL veritabanı yönetim sistemlerinden biri olan phpMyAdmin’in geliştiricileri, saldırganların etkilenen web sunucularının kontrolünü ele geçirmelerine olanak verebilecek birkaç önemli güvenlik açığını düzeltmek için kendi yazılımlarının 4.8.4 sürümünü güncelledi.
Geçen Pazar günkü phpMyAdmin projesi , en başta yapılan güvenlik güncellemesi hakkında, ilk kez, ön duyuruların web sitesi yöneticilerine, barındırma sağlayıcılarına ve paket yöneticilerinin güvenlik açığına daha iyi hazırlanıp hazırlanamayacağına dair bir deneme olarak, erken bir güncelleme yaptı. .

“Paketleyicilerin ve hosting sağlayıcılarının hazırlaması için önceden herhangi bir güvenlik açığını duyuran diğer projelerin (Mediawiki ve diğerleri gibi) iş akışından ilham alıyoruz. Böyle bir iş akışının projemize uygun olup olmadığını görmeye çalışıyoruz. “phpMyAdmin sürüm yöneticisi Isaac Bennetch”. phpMyAdmin, web tarayıcısı üzerinden basit bir grafik arabirim kullanarak MySQL veritabanlarını yönetmek için ücretsiz, açık kaynaklı bir yönetim aracıdır. Hemen hemen her web barındırma hizmeti, web yöneticilerinin WordPress, Joomla ve diğer birçok içerik yönetim platformu dahil olmak üzere web siteleri için veritabanlarını kolayca yönetmelerine yardımcı olmak için kontrol panelleriyle phpMyAdmin’i önceden yükler.
Birçok hata düzeltmesinin yanı sıra, phpMyAdmin’in en son danışma belgesinde açıklandığı gibi, phpMyAdmin sürüm 4.8.4’ten önceki phpMyAdmin sürümlerini etkileyen üç önemli güvenlik açığı bulunmaktadır.

Yeni phpMyAdmin Güvenlik Açıkları

Yeni keşfedilen üç phpMyAdmin güvenlik açığının ayrıntıları aşağıda açıklanmıştır:
1.) Yerel dosya ekleme (CVE-2018-19968) –
phpMyAdmin sürümleri en az 4.0 – 4.8.3 arası bir uzak saldırganın okumalarına izin verebilecek bir yerel dosya içerme hatası içerir. Sunucudaki yerel dosyalardan hassas içerikleri, dönüştürme özelliği sayesinde.
“Saldırganın, saldırganın erişebileceği herhangi bir veritabanında kolayca oluşturulabilmesine rağmen, phpMyAdmin Yapılandırma Depolama tablolarına erişebilmesi gerekir. Bir saldırganın phpMyAdmin’e giriş yapmak için geçerli kimlik bilgilerine sahip olması gerekir; Bu güvenlik açığı, saldırganın oturum açma sistemini atlamasına izin vermez. ”
2.) Siteler Arası Talep Sahteciliği (CSRF) / XSRF (CVE-2018-19969) –
phpMyAdmin sürümleri 4.7.0 – 4.7.6 ve 4.8.0 – 4.8.3 arasında, istismar ediliyorsa, bir CSRF / XSRF kusuru bulunmaktadır. Saldırganların “veritabanlarını yeniden adlandırma, yeni tablolar / rutin oluşturma, tasarımcı sayfalarını silme, kullanıcı ekleme / silme, kullanıcı şifrelerini güncelleme, SQL süreçlerini öldürme gibi zararlı SQL işlemlerini gerçekleştirmelerine” sadece kurbanları özel hazırlanmış bağlantılar açmaya ikna etmelerine izin verin.
3.) Siteler arası komut dosyası oluşturma (XSS) (CVE-2018-19970) –
Yazılım ayrıca, gezinme ağacında en az 4.0’dan 4.8.3’e kadar olan sürümleri etkileyen bir siteler arası komut dosyası güvenlik açığı içerir. Özel hazırlanmış bir veritabanı / tablo adı aracılığıyla kötü amaçlı kodu panoya enjekte edilebilir.
Yukarıda listelenen tüm güvenlik açıklarını ele almak için, phpMyAdmin geliştiricileri son sürüm 4.8.4’ü ve bazı önceki sürümler için ayrı yamaları yayınladı.
Web sitesi yöneticileri ve barındırma sağlayıcılarına, en son güncelleştirmeyi hemen yüklemeleri önerilir.

Etiketler
Daha Fazla Göster

brkalbyrk

Gazi Üniversitesi Bilgisayar Mühendisliği'nde eğitim görmekteyim.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir