ثغرات خطيرة في phpMyAdmin
تقيمك :تم اصدار نسخة جديدة من السكربت الشهير phpMyAdmin المخصص لادارة قواعد بيانات MySQL لترقيع مجموعة من الثغرات الخطيرة جدا في السكربت و التي تصيب جميع الاصدرات قبل 3.3.10.2 و 3.4.3.1.
جائت هذه الثغرات بسبب عدد من الاخطاء هي:
- امكانبة استغلال خطأ في دالة “Swekey_login()” في libraries/auth/swekey/swekey.auth.lib.php لحقن كود PHP و تنفيذه على السيرفر.
- عدم معالجة المدخلات الى دالة “PMA_createTargetTables()” في libraries/server_synchronize.lib.php بشكل صحيح قبل استدعاء دالة “preg_replace()” مما يمكن المهاجمين من تنفيذ كود PHP على السيرفر باستخدام NULL bytes بعد تتشفيره بتشفير URL.
- عدم معالجة المدخلات الى دالة “PMA_displayTableBody()” في libraries/display_tbl.lib.php بشكل صحيح قبل استخدامها لادراج الملفات مما يمكن المهاجمين من ادراج اي ملف موجود على نفس السيرفر.
بالاضافة الى هذا فقد تم معالجة ضعف برمجي في سكربتات التنصيب قد يمكن من حقن أكواد php ضارة في السيرفر.
ننصح جميع مستخدمي phpMyAdmin بتحديث نسخهم الى 3.3.10.2 او 3.4.3.1 في أسرع وقت ممكن.
للمزيد من المعلومات : phpMyAdmin Multiple Vulnerabilities

المدير التنفيذي لشركة iSecur1ty ، مختبر إختراق من الأردن أحب كل ما يتعلق بتكنولوجيا وأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.
التعليقات
ســامي
5 يوليو، 2011 الساعة 6:45 مشكرااا اخي زيد تم التبليغ
والتغرة في غاية الخطورة مع انو لم يتم الى حد الان نزول استغلال التغرة
لكن ننصح الجميع با ترقية
باتوفيق للجميع
h4x0r
5 يوليو، 2011 الساعة 10:04 مبالفعل ثغرة خطيرة يعطيك العافية
ابوفهد
6 يوليو، 2011 الساعة 7:19 مشكرا لك اخي زيد
زيد القريشي
6 يوليو، 2011 الساعة 10:55 مasdasdddddddddddddddddddddd asd asdasd
زيد القريشي
6 يوليو، 2011 الساعة 10:56 م[4:55:26 AM IST] lnxg33k:
asdasdasddddd
زيد القريشي
6 يوليو، 2011 الساعة 10:58 مlklklkl
زيد القريشي
6 يوليو، 2011 الساعة 11:12 م;l;jhjhjhj g
أحمد العنترى
6 يوليو، 2011 الساعة 11:22 مtest test
زيد القريشي
7 يوليو، 2011 الساعة 5:54 صنعم تعد هذه الثغرات خطيرة جدا و قد تؤدي الى اختراق كامل للسيرفر
somari
17 أغسطس، 2011 الساعة 8:37 مسأبحث عنها و أستغلها إنها فعلا ثغرة خطيرة
إسلام
4 سبتمبر، 2011 الساعة 2:39 متسلم زيد على المعلومة … و لكن إذا كنت أبنى موقع بالPHP كيف أتأكد أن لا أحد يستطيع إستخدام هذه الثغرات? كيف أستخدمها بنفسى لأتأكد أن الموقع مؤمن ضدها
اتحادي صميم
18 سبتمبر، 2011 الساعة 1:53 ماحسنت بارك الله فيك
وسددخطاك
^_^
شمالي عرعر
2 أكتوبر، 2011 الساعة 7:47 مالسلاام عليكم صبااح الخيرررر يسلمو على الثغرره
بس اول مرره اسمع فيهااااا الثغرره هذي ؟؟
ولا قد شفت استغلاال لهاا شكلهاا براايفت