Se
han publicado nuevas versiones de
phpMyAdmin destinadas a solucionar una vulnerabilidad
de revelación de información sensible.
PhpMyAdmin es una popular
herramienta, escrita en PHP, para la administración de MySQL a través de un
navegador. Este software permite crear, modificar y eliminar bases de datos,
tablas, campos, administrar privilegios y, en general, ejecutar cualquier
sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
El problema, con CVE-2015-8669,
reside en que al ejecutar de una forma no habitual determinados scripts de phpMyAdmin,
se puede formar a phpMyAdmin para mostrar un error PHP que contiene la ruta
completa donde phpMyAdmin se encuentra instalado.
Las vulnerabilidades se han
solucionado en las versiones 4.0.10.12, 4.1.15.2 y 4.5.3.1 disponibles desde https://www.phpmyadmin.net/downloads/
O a través de los siguientes
parches:
Para la rama 4.0:
Para la rama 4.4:
Para la rama 4.5:
Este fallo aunque no puede
considerarse especialmente grave, sí puede resultar de importancia para un
posible atacante, ya que puede permitir obtener información del servidor y del sistema que permita construir un ataque más elaborado y de mayor gravedad.
Más información:
PMASA-2015-6
Antonio Ropero
Twitter: @aropero
