速打补丁：phpMyAdmin 漏洞可导致 web 服务器遭远程控制

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

phpMyAdmin是最为流行且使用最广泛的MySQL数据库管理系统之一，其开发人员刚刚发布更新版本4.8.4，修复了几个可导致远程攻击者控制受影响web服务器的重要漏洞。

phpMyAdmin项目组在上周日通过博客提前发布了关于最新安全更新的内容，很可能这是它首次实验检验提前公布能否帮助网站管理员、托管提供商和数据包管理员更好地为安全发布做准备。

phpMyAdmin发布经理Isaac Bennetch表示，“我们受其它项目（如Mediawiki等）工作流的启发，他们通常会提前宣布安全发布，以便数据包维护人员和托管提供商能够做准备。我们做这个实验是检验这种工作流是否适合我们的项目。”360

phpMyAdmin是使用web浏览器简单的图形接口管理MySQL数据库的免费开源管理工具。几乎所有的web托管服务都在控制面板预装phpMyAdmin，帮助网站管理员轻松管理网站如WordPress、Joomla和其它内容管理平台的数据库。

除了很多bug修复方案外，项目组还发布了三个严重的漏洞。它们影响4.8.4之前的phpMyAdmin版本。

phpMyAdmin 新漏洞

这三个phpMyAdmin新漏洞如下：

本地文件包含漏洞(CVE-2018-19968)：至少phpMyAdmin 4.0至4.8.3版本中存在一个本地文件包含漏洞，可导致远程攻击者从服务器上的本地文件中通过转换功能读取敏感信息。

“攻击者必须能够访问phpMyAdmin配置存储表，尽管可在任何数据库中轻易创建且攻击者能够访问。攻击者必须能够拥有登录phpMyAdmin的有效凭证；该漏洞禁止攻击者绕过登录系统。”

跨站点请求漏洞(CVE-2018-19969)：phpMyAdmin版本4.7.0至4.7.6以及4.8.0至4.8.3版本中存在该漏洞。如遭利用，它可导致攻击者“执行有害的SQL操作如重命名数据库、创建新表/例程、删除设计者页面、增加/删除用户、更新用户密码、杀死SQL进程”，而攻击者只需诱骗受害者打开特殊构造的链接即可。

跨站脚本(CVE-2018-19970)：该软件的导航树中存在该漏洞，影响至少4.0至4.8.3版本，可导致攻击者通过特殊构造的数据库/表明注入恶意代码。

phpMyAdmin开发人员发布版本4.8.4并未之前版本发布单独补丁。

强烈建议网站管理员和托管提供商立即安装更新或打补丁。