Se han publicado nuevas versiones de phpMyAdmin destinadas a solucionar una vulnerabilidadde revelación de información sensible.
PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
El problema, con CVE-2015-8669, reside en que al ejecutar de una forma no habitual determinados scripts de phpMyAdmin, se puede formar a phpMyAdmin para mostrar un error PHP que contiene la ruta completa donde phpMyAdmin se encuentra instalado.
Las vulnerabilidades se han solucionado en las versiones 4.0.10.12, 4.1.15.2 y 4.5.3.1 disponibles desde https://www.phpmyadmin.net/downloads/
O a través de los siguientes parches:
Para la rama 4.0:
Para la rama 4.4:
Para la rama 4.5:
Este fallo aunque no puede considerarse especialmente grave, sí puede resultar de importancia para un posible atacante, ya que puede permitir obtener información del servidor y del sistema que permita construir un ataque más elaborado y de mayor gravedad.
Más información:
PMASA-2015-6
Antonio Ropero
Twitter: @aropero
Deja un comentario