phpMyAdmin ออกแพทช์อัปเดตเพื่ออุดช่องโหว่แล้ว รีบอัปเดตด่วน!

เมื่อวันอังคารที่ผ่านมา ทีมพัฒนาซอฟต์แวร์ของ phpMyAdmin ได้ออกแพทช์อัปเดตเวอร์ชั่น 4.8.4 เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงในระดับสูงหลายๆ ช่องโหว่ ซึ่งแต่ละช่องโหว่นั้นอาจทำให้แฮกเกอร์สามารถเข้าควบคุมเว็บไซต์ได้จากระยะไกล

นอกจากจะแก้ไขบั๊กที่เกิดขึ้นแล้ว ยังมีการค้นพบช่องโหว่ใหม่อีก 3 ช่องโหว่ที่มีผลกระทบกับ phpMyAdmin เวอร์ชั่นเก่า ซึ่งช่องโหว่ทั้ง 3 นี้ได้รับการแก้ไขแล้วในเวอร์ชั่น 4.8.4 ค่ะ
ช่องโหว่ใหม่ที่พบทั้ง 3 ช่องโหว่ มีรายละเอียด ดังนี้

  1. ช่องโหว่ Local file inclusion หมายเลขช่องโหว่ CVE-2018-19968 ช่องโหว่นี้มีผลกระทบกับ phpMyAdmin เวอร์ชั่น 4.0-4.8.3 เป็นช่องโหว่ที่ทำให้แฮกเกอร์ทำการโจมตีจากระยะไกล ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลที่สำคัญต่างๆ จาก local file บนเซิร์ฟเวอร์
  2. ช่องโหว่ Cross-Site Request Forgery (CSRF)/XSRF หมายเลขช่องโหว่ CVE-2018-19969 ช่องโหว่นี้มีผลกระทบกับ phpMyAdmin เวอร์ชั่น 4.7.0-4.7.6 กับเวอร์ชั่น 4.8.0-4.8.3 ช่องโหว่นี้เกิดจากผู้ใช้คลิกลิงค์ที่แฮกเกอร์สร้างขึ้นมา แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการเปลี่ยนแปลงฐานข้อมูล หรือสร้างตาราง หรือลบหน้าเพจที่ออกแบบไว้ หรือทำการเพิ่ม ลบ แก้ไขข้อมูลรหัสผ่านของผู้ใช้ใน SQL operation ได้
  3. ช่องโหว่ Cross-site scripting (XSS) หมายเลขช่องโหว่ CVE-2018-19970 ช่องโหว่นี้มีผลกระทบกับ phpMyAdmin เวอร์ชั่น 4.0-4.8.3 แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ฉีดโค้ดที่เป็นอันตรายไปยังหน้าแดชบอร์ดผ่านทางฐานข้อมูล หรือตารางที่แฮกเกอร์สร้างขึ้น

ในตอนนี้ผู้ใช้และผู้ดูแลระบบสามารถอัปเดต phpMyAdmin เวอร์ชั่น 4.8.3 ซึ่งเป็นเวอร์ชั่นล่าสุดได้แล้ว สามารถดาวน์โหลดได้ที่ phpMyAdmin 4.8.4

ที่มา: The Hacker News