phpMyAdmin 是一個 PHP 應用程式,以通過網頁界面處理和管理 MySQL 或 MariaDB 。phpMyAdmin 發布了安全性更新以應對當中的三個漏洞。授權的本機攻擊者可攻擊設定儲存表(configuration storage tables)內的漏洞以泄漏檔案內容,或通過特制的數據庫或報表名稱傳送含有惡意負載(malicious payload)至目標網站管理員。遠端攻擊者也可誘使目標網站管理員按下特製的連結以攻擊一個跨網址請求偽造(cross-site request forgery (XSRF/CSRF))漏洞。
成功利用這個漏洞的攻擊者可導致受影響的系統泄漏資訊、注入惡意程式碼或進行未經授權的數據庫操作。
供應商已在其網站上發行了4.8.4版本以應對以上問題。
https://www.phpmyadmin.net/downloads/
系統管理員可聯絡其產品支援供應商,以取得修補程式及有關支援。
系統管理員亦建議加強至phpMyAdmin的存取控制(access control)以僅允許來自內部網絡的訪問。若需要進行遙距控制,管理員應考慮使用保安渠道(包括虛擬私人網絡(VPN)) 來保護管理平台。
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/
https://www.phpmyadmin.net/security/PMASA-2018-6/
https://www.phpmyadmin.net/security/PMASA-2018-7/
https://www.phpmyadmin.net/security/PMASA-2018-8/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19969
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19970