phpMyAdmin telah merilis Versi Terbaru 4.8.4

Pengembang phpMyAdmin, salah satu sistem manajemen basis data MySQL yang paling populer dan banyak digunakan, telah merilis versi terbaru 4.8.4 dari perangkat lunaknya untuk menutup beberapa kerentanan penting yang pada akhirnya dapat memungkinkan penyerang jauh untuk mengendalikan server web yang terpengaruh.

Proyek phpMyAdmin hari Minggu lalu memberikan informasi awal tentang pembaruan keamanan terbaru melalui blognya, mungkin untuk pertama kalinya, sebagai eksperimen untuk menemukan apakah pra-pengumuman dapat membantu admin situs web, penyedia hosting, dan pengelola paket lebih siap untuk rilis keamanan .

"Kami terinspirasi oleh alur kerja proyek lain (seperti Mediawiki dan lainnya) yang sering mengumumkan rilis keamanan apa pun sebelumnya untuk memungkinkan pengelola paket dan penyedia hosting untuk mempersiapkan. Kami bereksperimen untuk melihat apakah alur kerja seperti itu cocok untuk proyek kami, "Manajer rilis phpMyAdmin Isaac Bennetch.

phpMyAdmin adalah alat administrasi open-source gratis untuk mengelola database MySQL menggunakan antarmuka grafis sederhana melalui web-browser.
Hampir setiap layanan web hosting telah menginstal phpMyAdmin dengan panel kontrol mereka untuk membantu webmaster mengelola database mereka dengan mudah untuk situs web, termasuk WordPress, Joomla, dan banyak platform manajemen konten lainnya.

Selain banyak perbaikan bug, ada tiga kerentanan keamanan penting yang mempengaruhi versi phpMyAdmin sebelum rilis 4.8.4, phpMyAdmin terungkap dalam saran terbarunya.
Kerentanan phpMyAdmin baru
Detail dari tiga kerentanan phpMyAdmin yang baru ditemukan adalah seperti yang dijelaskan di bawah ini:

1.) Inklusi file lokal (CVE-2018-19968) - versi phpMyAdmin dari setidaknya 4.0 hingga 4.8.3 termasuk cacat inklusi file lokal yang dapat memungkinkan penyerang jauh untuk membaca konten sensitif dari file lokal di server melalui fitur transformasinya.
“Penyerang harus memiliki akses ke tabel Penyimpanan Konfigurasi phpMyAdmin, meskipun ini dapat dengan mudah dibuat dalam database apa pun yang dapat diakses oleh penyerang. Seorang penyerang harus memiliki kredensial yang valid untuk masuk ke phpMyAdmin; kerentanan ini tidak memungkinkan penyerang untuk menghindari sistem masuk. "

2.) Pemalsuan Permintaan Lintas Situs (CSRF) / XSRF (CVE-2018-19969) - phpMyAdmin versi 4.7.0 hingga 4.7.6 dan 4.8.0 hingga 4.8.3 mencakup cacat CSRF / XSRF, yang jika dieksploitasi, dapat memungkinkan penyerang untuk "melakukan operasi SQL yang berbahaya seperti mengganti nama basis data, membuat tabel / rutin baru, menghapus halaman desainer, menambahkan / menghapus pengguna, memperbarui kata sandi pengguna, membunuh proses SQL" hanya dengan meyakinkan korban untuk membuka tautan yang dibuat khusus.

3.) Cross-site scripting (XSS) (CVE-2018-19970) - Perangkat lunak ini juga mencakup kerentanan skrip lintas situs dalam struktur navigasi, yang mempengaruhi versi dari setidaknya 4.0 hingga 4.8.3, menggunakan penyerang yang dapat masukkan kode berbahaya ke dalam dasbor melalui nama database / tabel yang dibuat khusus.

Untuk mengatasi semua kerentanan keamanan yang tercantum di atas, pengembang phpMyAdmin hari ini merilis versi terbaru 4.8.4, serta patch terpisah untuk beberapa versi sebelumnya.
Administrator situs web dan penyedia hosting sangat disarankan untuk segera menginstal pembaruan atau patch terbaru.