انتشار phpMyAdmin نسخه ۴.۸.۵ و رفع آسیبپذیریهای SQL injection و Arbitrary File
نسخه ۴.۸.۵ از نرمافزار phpMyAdmin جهت رفع آسیبپذیریهای حیاتی و حفرههای امنیتی، منتشر شد. phpMyAdmin نرمافزاری رایگان برای مدیریت پایگاهداده MySQL است.
اصلاحات امنیتی phpMyAdmin 4.8.5
۱. Arbitrary File Read (آسیبپذیری خواندن فایل دلخواه)
اگر گزینه AllowArbitraryServer بر روی True تنظیم شده باشد، یک مهاجم با فریب دادن سرور MySQL میتواند فایلهایی را که کاربران وب سرور به آنها دسترسی دارند را بخواند.
این آسیبپذیری از جمله آسیبپذیریهای بحرانی محسوب میشود و میتوان با تنظیم AllowArbitraryServer به صورت false از آن پیشگیری کرد.
از نسخه ۴.۰ تا نسخه ۴.۸.۴ نرمافزار phpMyAdmin تحت تأثیر این آسیبپذیری قرار دارند و از نسخه ۴.۸.۵ به بعد این آسیبپذیری در آن رفع شده است.
۲. SQL injection (آسیبپذیری تزریق SQL)
مهاجم میتواند این آسیبپذیری را با یک نام کاربری خاص که میتواند برای حمله تزریق SQL استفاده شود، اکسپلویت نماید.
این یک آسیبپذیری مهم و خطرناک است و نسخههای ۴.۵.۰ تا ۴.۸.۴ نرمافزار phpMyAdmin را تحت تأثیر قرار میدهد و از نسخه ۴.۸.۵ به بعد در آن رفع شده است.
۳. دیگر حفرههای اصلاحشده
- در دسترس نبودن Export در قالب SQL
- عدم نمایش کد QR هنگام اضافه کردن احراز هویت دو مرحلهای به یک حساب کاربری
- مشکل اضافه کردن یک کاربر جدید در نسخه ۸.۰.۱۱ MySQL و نسخههای جدیدتر
- مسدود شدن رابط مربوط به پلاگین Text_Plain_Sql
- حذف tab مربوط به Table level Operations
منبع خبر: https://gbhackers.com/phpmyadmin-4-8-5-released