İçeriğe geçmek için "Enter"a basın

phpMyAdmin’den Kritik Yazılım Güncellemesi

Yaygın olarak kullanılan MySQL veritabanı yönetim sistemlerinden biri olan phpMyAdmin’in geliştiricileri 11 Aralık’ta saldırganların, zarar görmüş web sunucularının kontrolünü ele geçirmelerine olanak verebilecek birkaç önemli güvenlik açığını yamamak için 4.8.4 sürümünü güncelledi.

phpMyAdmin, web tarayıcısı üzerinden basit bir grafik arabirim kullanarak MySQL veritabanlarını yönetmek için ücretsiz, açık kaynaklı bir yönetim aracıdır.

Hemen hemen her web barındırma hizmeti, web yöneticilerinin WordPress, Joomla ve diğer birçok içerik yönetim platformu dahil olmak üzere web siteleri için veritabanlarını kolayca yönetmelerine yardımcı olmak için kontrol panelleriyle phpMyAdmin’i önceden yükler.

Birçok hata düzeltmesinin yanı sıra, phpMyAdmin’in en son belgesinde açıklandığı gibi, phpMyAdmin sürüm 4.8.4’ten önceki phpMyAdmin sürümlerini etkileyen üç önemli güvenlik açığı bulunmaktadır.

Yeni phpMyAdmin Güvenlik Açıkları

 Yeni keşfedilen üç phpMyAdmin güvenlik açığının ayrıntıları aşağıda açıklanmıştır:

1.) Yerel dosya eklenmesi (CVE-2018-19968) – phpMyAdmin sürümlerinin 4.0 ile 4.8.3 arasında, uzak bir saldırganın dönüştürme özelliğini kullanarak sunucudaki yerel dosyalardan hassas içerikleri okumalarına olanak verebilecek bir yerel dosya içerme hatası içerir.

“Saldırgan, herhangi bir saldırganın erişebileceği herhangi bir veritabanında kolayca oluşturulabileceği phpMyAdmin Yapılandırma Depolama tablolarına erişim sahibi olmalıdır. Bir saldırganın phpMyAdmin’e giriş yapmak için geçerli kimlik bilgilerine sahip olması gerekir; bu güvenlik açığı, saldırganın oturum açma sistemini atlamasına izin vermez.”

2.) Çapraz Site Talebi Sahteciliği (CSRF)/XSRF (CVE-2018-19969) – phpMyAdmin’in 4.7.0’dan 4.7.6’ya ve 4.8.0’dan 4.8.3’e kadar olan sürümleri, bir CSRF/XSRF kusurunu içerir; bu, eğer istismar edildiyse, saldırganların veritabanlarını yeniden adlandırma, yeni tablolar/rutinler oluşturma, tasarımcı sayfalarını silme, kullanıcı ekleme/silme, kullanıcı parolalarını güncelleme, SQL süreçlerini öldürme gibi amaçlarla kurbanları özel hazırlanmış bağlantılar açmaya ikna etmelerine izin verebilir.

3.) Siteler arası komut dosyası oluşturma (XSS) (CVE-2018-19970) – Yazılım ayrıca, navigasyon ağacında, en az 4.0’dan 4.8.3’e kadar olan sürümleri etkileyen bir çapraz site komut dosyası güvenlik açığı içerir; bu yöntemde, bir saldırgan, özel hazırlanmış bir veritabanı/tablo adı aracılığıyla kötü amaçlı kodu gösterge tablosuna ekleyebilir.

Yukarıda listelenen tüm güvenlik açıklarını ele alan phpMyAdmin geliştiricileri, 11 Aralık’ta en son sürüm 4.8.4 ve önceki bazı sürümler için ayrı yamalar yayınladı.

Web sitesi yöneticilerine ve barındırma sağlayıcılarına, en son güncelleştirme veya düzeltme eklerini hemen yüklemeleri önerilir.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir