Kritisk feil rammer phpMyAdmin

Flere kritiske sårbarheter i administrasjonsverktøyet gjør at det anbefales på det sterkeste å oppgradere.

phpMyAdmin er et web-basert administrasjonsverktøy for MySQL-databaser, skrevet i PHP og utgitt som åpen kildekode. phpMyAdmin er mye brukt som administrasjonsverktøy for MySQL-servere på nettet.

Utviklerne bak har gitt ut en ny versjon for å fikse flere kritisk sårbarheter som kan bli brukt til å kompromittere et sårbart system.

De kritiske sårbarhetene omfavner alle versjoner av phpMyAdmin før 3.3.10.2 og 3.4.3.1, ifølge Secunia.

Detaljer rundt sårbarhetene:

  • An error within the “Swekey_login()” function in libraries/auth/swekey/swekey.auth.lib.php can be exploited to overwrite session variables and e.g. inject and execute arbitrary PHP code.
  • Input passed to the “PMA_createTargetTables()” function in libraries/server_synchronize.lib.php is not properly sanitised before calling the “preg_replace()” function with the “e” modifier. This can be exploited to execute arbitrary PHP code via URL-encoded NULL bytes.
  • Input passed to the “PMA_displayTableBody()” function in libraries/display_tbl.lib.php is not properly sanitised before being used to include files. This can be exploited to include arbitrary files from local resources via directory traversal sequences.

Det anbefales å oppgradere til enten versjon 3.3.10.2 eller 3.4.3.1.

 

Kommentarer