Ontwikkelaars van phpMyAdmin, een van de meest populaire en meest gebruikte MySQL databasebeheersystemen, hebben vandaag een bijgewerkte versie 4.8.4 van de software uitgebracht om een aantal belangrijke kwetsbaarheden te patchen die uiteindelijk aanvallers op afstand de controle over de getroffen webservers zouden kunnen geven.
Het phpMyAdmin-project gaf afgelopen zondag een waarschuwing over de nieuwste beveiligingsupdate via hun blog, waarschijnlijk de eerste keer, als een experiment om te achterhalen of pre-aankondigingen websitebeheerders, hostingproviders en pakketmanagers kunnen helpen beter voor te bereiden op de beveiligingsupdate.
“We zijn geïnspireerd door de workflow van andere projecten (zoals Mediawiki en anderen) die vaak vooraf een beveiligingsrelease aankondigen om pakketbeheerders en hostingproviders in staat te stellen zich voor te bereiden. We zijn aan het experimenteren om te zien of een dergelijke workflow geschikt is voor ons project” vertelde phpMyAdmin releasemanager Isaac Bennetch aan The Hacker News.
phpMyAdmin is een gratis open-source beheertool voor het beheren van MySQL-databases met behulp van een eenvoudige grafische interface via de webbrowser.
Bijna elke webhostingservice pre-installeert phpMyAdmin met hun controlepanelen om webmasters te helpen bij het eenvoudig beheren van hun databases voor websites, waaronder WordPress, Joomla en vele andere content management-platforms.
Naast veel bugfixes zijn er vooral drie kritieke beveiligingskwetsbaarheden die van invloed zijn op phpMyAdmin-versies vóór release 4.8.4, phpMyAdmin onthuld in zijn laatste advies.
Details van drie nieuw ontdekte phpMyAdmin kwetsbaarheden zijn zoals hieronder beschreven:
1.) Lokale bestandsindeling (CVE-2018-19968) – phpMyAdmin-versies van ten minste 4.0 tot en met 4.8.3 bevatten een gebrek aan een lokaal bestand waardoor een externe aanvaller via de transformatiefunctie gevoelige inhoud van lokale bestanden op de server kan lezen .
“De aanvaller moet toegang hebben tot de phpMyAdmin-configuratieopslagtabellen, hoewel deze eenvoudig kunnen worden gemaakt in elke database waartoe de aanvaller toegang heeft. Een aanvaller moet geldige inloggegevens hebben om in te loggen bij phpMyAdmin; Door dit beveiligingslek kan een aanvaller het inlogsysteem niet omzeilen. ”
2.) Cross-Site Request Forgery (CSRF) / XSRF (CVE-2018-19969) – phpMyAdmin-versies 4.7.0 tot en met 4.7.6 en 4.8.0 tot en met 4.8.3 bevatten een CSRF / XSRF-tekortkoming, die, indien geëxploiteerd, zou kunnen aanvallers toestaan ”schadelijke SQL-bewerkingen uit te voeren zoals het hernoemen van databases, het maken van nieuwe tabellen / routines, het verwijderen van ontwerppagina’s, toevoegen / verwijderen van gebruikers, het bijwerken van gebruikerswachtwoorden, het doden van SQL-processen” door slachtoffers te overtuigen speciaal ontworpen links te openen.
3.) Cross-site scripting (XSS) (CVE-2018-19970) – De software bevat ook een cross-site scripting-kwetsbaarheid in de navigatieboom, die van invloed is op versies van minimaal 4.0 tot en met 4.8.3, waarmee een aanvaller kan injecteer schadelijke code in het dashboard via een speciaal gemaakte database / tabelnaam.
Om alle hierboven genoemde beveiligingskwetsbaarheden te verhelpen, hebben phpMyAdmin-ontwikkelaars vandaag de nieuwste versie 4.8.4 uitgebracht, evenals afzonderlijke patches voor sommige eerdere versies.
Website-beheerders en hostingproviders worden ten zeerste aanbevolen om de nieuwste update of patches onmiddellijk te installeren.