Orebla.it

http://www.orebla.it

STAMPA IL DOCUMENTO
Update di sicurezza per phpMyAdmin
13/12/05


La società Hardened-PHP ha rilasciato un advisory con relativo aggiornamento per un bug scoperto su phpMyAdmin che permetterebbe ad attacker di penetrare all'interno del server.

PhpMyAdmin è uno degli script open source più utilizzati al mondo, il suo punto di forza è sempre stato quello della semplicità e della sicurezza. Ancora una volta non si smentiscono, rilasciando immediatamente l'aggiornamento.

La vulnerabilità è stata scoperta all'interno delle pagina grab_globals.php che si occupa di emulare le funzioni di "register_globals" nel caso in cui sul server non vengano supportati.

Per impedire attacchi alle variabili globali i programmatori hanno creato una Blacklist, questa viene importata all'interno dello script tramite la variabile $import_blacklist, la quale si è scoperto non essere protetta.

Questo porterebbe ad uno svuotamento della Blacklist e permetterebbe poi di utilizzare molti tipi di attacco, dall'XSS al file inclusion.

Le versioni vulnerabili sono quelle inferiori alla 2.7.0, sul sito ufficiale è stata rilasciata la versione aggiornata cioè la 2.7.0-pl1.

Link utili:

 

Autore articolo: Orebla