Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫວ່​ XSS, LFI -> RCE ໃນ​ phpMyadmin

ແຈ້ງ​ເຕືອນ​ຊ່ອງ​ໂຫວ່​ XSS, LFI -> RCE ໃນ​ phpMyadmin
ໂຄງ​ການ​ phpMyAdmin ປະ​ກາດ​ແພັດແກ້ໄຂ (Patch)​​ ຊ່ອງ​ໂຫວ່​ຄວາມ​ປອດໄພ​ລະ​ຫັດ​ CVE-2018-12581 ແລະ​ CVE-2018-12613 ໃນທ້າຍ​ອາທິດ​ທີ່​ຜ່ານມາ​ ໂດຍ​ຊ່ອງ​ໂຫວ່​ທີ່​ມີ​ການ​ປະ​ກາດ​ແພັດ​​ແກ້ໄຂ ນັ້ນ​ມີ​ທັງ​ຊ່ອງ​ໂຫວ່ປະະ​ເພດ​ XSS, LFI ແລະ​ RCE.


ຊ່ອງ​ໂຫວ່​ທໍາອິດ ລະ​ຫັດ​ CVE-2018-12581 ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ William Desportes ໄດ້ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່​ XSS ໃນຄຸນສົມບັດ (Feature)​ Designer ຊຶ່ງ​ສົ່ງ​ຜົນເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ ສາມາດ​ສ້າງ​ການ​ໂຈມ​ຕີ​ທີ່​ເປັນ​ອັນຕະລາຍ ​ທີ່​ຈະ​ຖືກ​ສັ່ງ​ໃຫ້​ເຮັດວຽກ​ໂດຍ​ຜູ້​ໃຊ້​ງານ​ຜ່ານ​ທາງ​ Field ຊື່​ຂອງ​ຖານ​ຂໍ້​ມູນ​ໄດ້​.

ຊ່ອງ​ໂຫວ່​ທີ່​ສອງ​ ລະຫັດ​ CVE-2018-12613 ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Huang Henry ເປັນ​ຊ່ອງ​ໂຫວ່ແບບ​ LFI ທີ່​ຜູ້​ໂຈມ​ຕີ​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ພິສູດ​ຕົວ​ຕົນ​ກັບ​ລະບົບ​ກ່ອນ​ ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ທີ່​ມາ​ຈາກ​ phpMyAdmin ໃນ​ໄຟລ໌​ທີ່​ຜູ້​ໃຊ້​ງານ​ມາ​ອັບ​ໂຫຼດ ​ແລະ ​ມີການສະແດງ​ຜົນ ລວມທັງ​ບັນຫາ​ໃນ​ການ​ whitelist ຂອງຊ໋ອບແວເອງ​ ຊຶ່ງ​ເຮັດໃຫ້​ເກີດ​ການ​ຣັນ​ໂຄ້ດ (Run the code) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄດ້.

ສຳລັບ​ຊ່ອງ​ໂຫວ່ ລະ​ຫັດ​ CVE-2018-12613 ຜູ້​ໃຊ້​ງານ​ຊ໋ອບແວ ສາມາດ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ໃນ​ເບື້ອງ​ຕົ້ນ​ໄດ້​ ໂດຍ​ການຕັ້ງ​ຄ່າ​ "open_basedir", "$cfg['AllowArbitraryServer']" ແລະ​ "$cfg['ServerDefault']" ຢ່າງ​ເໝາະ​ສົມ​.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ງານ​ອັບ​ເດດ​ຊ໋ອບແວ​ phpMyAdmin ໄປ​ເປັນ​ Version ທີ່​ມີ​ການ​ແພັດແກ້ໄຂ​ແລ້ວ​ຄື​Version 4.8.2 ໂດຍ​ດ່ວນ.

ເອກະສານອ້າງອີງ:

  1. https://www.facebook.com/story.php?story_fbid=1993670563977018&id=187949347882491
  2. https://www.phpmyadmin.net/security/PMASA-2018-3/ 
  3. https://www.phpmyadmin.net/security/PMASA-2018-4/

ລາຍການຮູບ

Porher 02 July 2018 492 Print

ພາສາ (Language)

ຕິດຕາມ ລາວເຊີດ

  

ຄົ້ນຫາ