Trovato un bug di sicurezza sul popolare phpMyAdmin

Security: ale 18 Ottobre 04 @ 14:30 pm

phpMyAdmin, il tool più usato per amministrare via web il famoso RDBMS MySQL è a rischio di attacchi remoti per via di un bug recentemente scoperto.
La scorsa settimana il team che si occupa del progetto open source phpMyAdmin ha reso noto un bug che riguarda il modo in cui il tool tratta le trasformazioni esterne basate sul MIME. Si potrebbe usare questo buco per permettere l'esecuzione arbitraria di comandi sul web server, con i privilegi dell'utente server.

Una patch che corregge il bug è già disponibile sul sito di phpMyAdmin. La vulnerabilità può essere solamente sfruttata sui sistemi, ove l'opzione safe_mode di PHP è disabilitata. Secunia, la famosa società di sicurezza Danese, afferma che il bug è serio e per questo ha attribuito ad esso il valore massimo di rischio.

La vulnerabilità è la più seria mai riscontrata in phpMyAdmin; prima di questa gli altri bug trovati che permettevano una qualche forma di manipolazione della configurazione o code-injection, rappresentavano pericoli moderati.

Antonino Salvatore Cutrì - Programmazione.it