Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Revelación de ruta en phpMyAdmin

Revelación de ruta en phpMyAdmin

Por Dejar un comentario

Se han publicado nuevas versiones de phpMyAdmin destinadas a solucionar una vulnerabilidadde revelación de información sensible.
PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
El problema, con CVE-2015-8669, reside en que al ejecutar de una forma no habitual determinados scripts de phpMyAdmin, se puede formar a phpMyAdmin para mostrar un error PHP que contiene la ruta completa donde phpMyAdmin se encuentra instalado.
Las vulnerabilidades se han solucionado en las versiones 4.0.10.12, 4.1.15.2 y 4.5.3.1 disponibles desde https://www.phpmyadmin.net/downloads/
O a través de los siguientes parches:
Para la rama 4.0:
f79d30dd98e02411e33367b01af86d4125630792
Para la rama 4.4:
583cb1ede5f8c81bf3f5cf90a8d1b9d8e62ae6ad
Para la rama 4.5:
c4d649325b25139d7c097e56e2e46cc7187fae45
Este fallo aunque no puede considerarse especialmente grave, sí puede resultar de importancia para un posible atacante, ya que puede permitir obtener información del servidor y del sistema que permita construir un ataque más elaborado y de mayor gravedad.
Más información:
PMASA-2015-6
https://www.phpmyadmin.net/security/PMASA-2015-6/

 

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.