phpMyAdmin lança uma atualização crítica para corrigir algumas vulnerabilidades.

Os programadores do phpMyAdmin, um dos mais populares e amplamente  sistemas para gestão de bases de dados MySQL, lançaram hoje uma nova versão atualizada 4.8.4 como meio de corrigir várias vulnerabilidades importantes que podem permitir que atacantes remotos controlem os servidores web vulneráveis.

Os responsáveis pelo phpMyAdmin, divulgaram no último domingo o recente remendo.

Desta vez utilizaram o blog da empresa, pela primeira vez, como experiência para descobrir se pré-anúncios podem ajudar os administradores de websites, provedores de alojamento e gestores de pacotes aplicarem as atualizações de segurança de forma efetiva e rápida.

“We are inspired by the workflow of other projects (such as Mediawiki and others) which often announce any security release in advance to allow package maintainers and hosting providers to prepare. We are experimenting to see if such a workflow is suitable for our project,” phpMyAdmin release manager Isaac Bennetch told The Hacker News.

O phpMyAdmin é uma ferramenta de administração gratuita e de código aberto concebido para gerir BDs MySQL utilizando uma interface gráfica simples no navegador de Internet.

Quase todos os serviços de alojamento pré-instalam o phpMyAdmin com os painéis de controle para ajudar os webmasters a gerirem facilmente as BDs dos wsites, incluindo WordPress, Joomla e muitas outras plataformas de gestão de conteúdo (CMS).

Além de muitas correções de bugs, existem basicamente três vulnerabilidades de segurança críticas que afetam as versões do phpMyAdmin anteriores a 4.8.4.

As vulnerabilidades estão descritas aqui e são especificadas em seguida.

1.) Local file inclusion (CVE-2018-19968) : Permite a um atacante remoto o upload de ficheiros maliciosos como forma comprometer o serviço.

2.) Cross-Site Request Forgery (CSRF)/XSRF (CVE-2018-19969): Explorado em detalhe, permite renomear bases de dados,, criar tabelas, rotinas, apagar designer pages, adicionar utilizadores, alterar passwords, eliminar SQL processes, e muito mais.

3.) Cross-site scripting (XSS) (CVE-2018-19970): O atacante pode injetar codígo malicioso no dashboard do phpMyAdmin através de uma tabela especialmente criada.

O phpMyAdmin lançou hoje a última versão 4.8.4, bem como patches separados para algumas versões anteriores como forma de corrigir os problemas aqui descritos.

É recomendada a rápida atualização do software aos provedores de serviços, webmasters e gestores de pacotes.