phpMyAdmin lanza actualización de software crítica: ¡actualice sus sitios ahora!



Los desarrolladores de phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares y ampliamente utilizados, lanzaron hoy una versión actualizada 4.8.4 de su software para parchear varias vulnerabilidades importantes que podrían permitir que los atacantes remotos tomen el control de los servidores web afectados.



El proyecto phpMyAdmin el domingo pasado dio un aviso anticipado sobre la última actualización de seguridad a través de su blog, probablemente la primera vez, como un experimento para descubrir si los anuncios previos pueden ayudar a los administradores de sitios web, proveedores de alojamiento y administradores de paquetes a prepararse mejor para la versión de seguridad.

"Nos inspiramos en el flujo de trabajo de otros proyectos (como Mediawiki y otros) que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando para ver si dicho flujo de trabajo es adecuado para nuestro proyecto. "El gerente de lanzamiento de phpMyAdmin, Isaac Bennetch, dijo a The Hacker News.

phpMyAdmin es una herramienta de administración gratuita y de código abierto para administrar bases de datos MySQL usando una interfaz gráfica simple a través del navegador web.

Casi todos los servicios de alojamiento web preinstala phpMyAdmin con sus paneles de control para ayudar a los webmasters a administrar fácilmente sus bases de datos para sitios web, como WordPress, Joomla y muchas otras plataformas de administración de contenido.

Además de muchas correcciones de errores, existen principalmente tres vulnerabilidades críticas de seguridad que afectan a las versiones de phpMyAdmin antes de la versión 4.8.4, reveló phpMyAdmin en su última recomendación.

También te puede interesar:  Dorks de carding para inyección SQL


Nuevas vulnerabilidades de phpMyAdmin

Los detalles de las tres vulnerabilidades de phpMyAdmin recién descubiertas se describen a continuación:

1.) Inclusión de archivos locales (CVE-2018-19968): las versiones de phpMyAdmin de al menos 4.0 a 4.8.3 incluyen un defecto de inclusión de archivos locales que podría permitir a un atacante remoto leer contenidos confidenciales de archivos locales en el servidor a través de su función de transformación .

“El atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque pueden crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante. Un atacante debe tener credenciales válidas para iniciar sesión en phpMyAdmin; esta vulnerabilidad no permite a un atacante eludir el sistema de inicio de sesión ".

2.) La falsificación de solicitudes entre sitios (CSRF) / XSRF (CVE-2018-19969) - phpMyAdmin versiones 4.7.0 a 4.7.6 y 4.8.0 a 4.8.3 incluye un defecto CSRF / XSRF, que si se explota, podría permite a los atacantes "realizar operaciones SQL dañinas, como cambiar el nombre de las bases de datos, crear nuevas tablas / rutinas, eliminar páginas del diseñador, agregar / eliminar usuarios, actualizar las contraseñas de los usuarios, matar procesos SQL" simplemente convenciendo a las víctimas para que abran enlaces especialmente diseñados.

3.) Secuencias de comandos entre sitios (XSS) (CVE-2018-19970): el software también incluye una vulnerabilidad de secuencias de comandos entre sitios en su árbol de navegación, que afecta a las versiones de al menos 4.0 a 4.8.3, con lo que un atacante puede inyecte código malicioso en el tablero de mandos a través de un nombre de tabla / base de datos especialmente diseñado.

Para abordar todas las vulnerabilidades de seguridad mencionadas anteriormente, los desarrolladores de phpMyAdmin lanzaron hoy la última versión 4.8.4, así como parches separados para algunas versiones anteriores.

Se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento que instalen las últimas actualizaciones o parches de inmediato.




Fuente: https://thehackernews.com/ 

Compartir...


No olvides seguirnos en twitter: @disoftin
Compartir en Google Plus

Acerca de Fredy Avila

Ingeniero de Sistemas, CEH, ECSA.
Twitter personal: @fredyavila
Twitter blog:@disoftin

0 comentarios:

Publicar un comentario