[av_textblock size=” font_color=” color=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”]
[/av_textblock]
[av_heading heading=’انتشار یک به‌روزرسانی نرم‌افزاری حیاتی توسط phpMyAdmin ، همین حالا وب‌سایت خود را وصله کنید!’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(34, 34, 34) none repeat scroll 0% 0%’]
توسعه‌دهندگان phpMyAdmin، یکی از محبوب‌ترین و مورداستفاده‌ترین سیستم‌های مدیریت پایگاه داده‌ی MySQL، در تاریخ ۱۱ دسامبر ۲۰۱۸ نسخه‌ی ۴٫۸٫۴ یعنی نسخه‌ی به‌روز شده‌ای از نرم‌افزار خود را منتشر کردند تا آسیب‌پذیری‌های مهمی را وصله کند که به مهاجمان اجازه می‌دهد تا کنترل سرورهای تحت تأثیر را بر عهده گیرند.
پروژه phpMyAdmin در یکشنبه گذشته در مورد آخرین به‌روزرسانی امنیتی از طریق وبلاگ خود گزارش داد، که در حقیقت یک پیش اطلاعیه‌ای بود که به مدیران وب‌سایت‌ها، ارائه‌دهندگان میزبانی وب و مدیران بسته‌ها کمک می‌کرد تا برای انتشار به‌روزرسانی‌های امنیتی آماده شوند. انتشار یک پیش اطلاعیه‌ای در حقیقت اولین بار توسط این شرکت انجام می‌شد .
Isaac Bennetch که مدیر انتشار phpMyAdmin است به The Hacker News گفت: “ما در مورد انتشار این پیش اطلاعیه از پروژه‌های دیگر (مانند Mediawiki و دیگر پروژه‌ها) که اغلب اعلامیه‌های امنیتی را پیش از انتشار آن اعلام می‌کنند تا به سازندگان بسته‌ها و ارائه‌دهندگان میزبانی اجازه دهند تا زودتر آماده شوند، الهام گرفتیم. ما آزمایش می‌کنیم که آیا چنین جریان کاری برای پروژه ما مناسب است یا خیر.”
phpMyAdmin یک ابزار مدیریت پایگاه داده‌های MySQL به‌صورت منبع باز و رایگان است که از یک رابط گرافیکی ساده در مرورگر وب استفاده می‌کند.
تقریباً هر سرویس میزبانی وبی به‌صورت پیش‌فرض دارای phpMyAdmin با پانل‌های کنترل است تا به  مدیران وب‌سایت‌ها کمک کند که به‌راحتی پایگاه‌های داده‌ی وب‌سایت‌های خود ازجمله وردپرس، جوملا و بسیاری دیگر از سیستم‌های مدیریت محتوا را مدیریت کنید.
این شرکت در آخرین توصیه‌های خود دراین‌باره اشاره کرد که علاوه بر بسیاری از اشکالات که وصله شدند، سه آسیب‌پذیری امنیتی بحرانی نیز وصله شد که بر روی نسخه‌های قبل از ۴٫۸٫۴ تأثیرگذار بود.
آسیب‌پذیری‌های جدید phpMyAdmin
جزئیات سه آسیب‌پذیری جدید کشف‌شده در phpMyAdmin به شرح زیر است :
۱) آسیب‌پذیری CVE-2018-19968 یا گنجاندن فایل محلی- نسخه‌های phpMyAdmin حداقل از ۴٫۰ تا ۴٫۸٫۳ شامل یک نقص گنجاندن فایل محلی است که می‌تواند اجازه دهد یک مهاجم از راه دور محتواهای حساس را از فایل‌های محلی بر روی سرور از طریق ویژگی تبدیل آن بخواند.
“مهاجم باید به جداول ذخیره‌سازی پیکربندی phpMyAdmin دسترسی داشته باشد، که می‌تواند به‌آسانی در هر پایگاه داده‌ای ایجاد شود. یک مهاجم باید دارای اعتبار معتبر برای ورود به phpMyAdmin باشد؛ این آسیب‌پذیری به مهاجم اجازه نمی‌دهد که ورود به سیستم را دور بزند.”
۲) آسیب‌پذیری CSRF/XSRF یا CVE-2018-19969: های نسخه ۴٫۷٫۰ تا ۴٫۷٫۶ و ۴٫۸٫۰ تا ۴٫۸٫۳ شامل یک نقص CSRF/XSRF است که در صورت بهره‌برداری می‌تواند اجازه دهند تا مهاجمان عملیات مضر SQL مانند تغییر نام پایگاه‌های داده، ایجاد جداول یا دستورالعمل‌های جدید، پاک کردن صفحات طراح، اضافه کردن یا حذف کاربران، به‌روزرسانی گذرواژه‌های کاربر و از بین بردن فرآیندهای SQL را انجام دهند.” مهاجمان این کار را فقط با متقاعد کردن قربانیان به‌منظور باز کردن لینک‌های خاص دستکاری‌شده انجام می‌دهند.
۳) آسیب‌پذیری XSS یا CVE-2018-19970: این نرم‌افزار همچنین شامل یک آسیب‌پذیری cross-site scripting در navigation tree خود است که نسخه‌های ۴٫۰ تا ۴٫۸٫۳ را تحت تأثیر قرار می‌دهد که با استفاده از آن ممکن است مهاجم بتواند کد مخرب را از طریق یک نام جدول دستکاری‌شده در پایگاه داده به داشبورد تزریق کند.
برای برطرف کردن تمامی آسیب‌پذیری‌های امنیتی ذکرشده در بالا، توسعه‌دهندگان phpMyAdmin در تاریخ ۱۱ دسامبر ۲۰۱۸ آخرین نسخه آن یعنی ۴٫۸٫۴ را منتشر کردند که به همراه وصله‌های جداگانه برای برخی از نسخه‌های قبلی بود.
به مدیران وب‌سایت‌ها و ارائه‌دهنده‌های میزبانی وب به‌شدت توصیه می‌شود بلافاصله این آخرین به‌روزرسانی‌ها یا وصله‌ها را نصب کنند.
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=’rgb(241, 241, 241) none repeat scroll 0% 0%’]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]