Actualización crítica de phpMyAdmin
El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.
“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.
Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.
Vulnerabilidades corregidas en la versión 4.8.4:
- LFI (CVE-2018-19968):
Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante. - CSRF/XSRF (CVE-2018-19969):
Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto de Cross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados. - XSS (CVE-2018-19970):
Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.
Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.
Mas información:
Descarga de la versión 4.8.4:
https://www.phpmyadmin.net/files/4.8.4/
Comunicado de pre-lanzamiento:
https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/
Via: unaaldia.hispasec.com