ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

phpMyAdmin ແຈ້ງ​ອັບ​ເດດ​ສຸກ​ເສີນ ເພື່ອປິດຊ່ອງ​ໂຫວ່​ຮຸນແຮງ​ລະ​ດັບ​ສູງ 

ທີມ​ພັດທະນາ phpMyAdmin ໄດ້​ອອກ​ອັບ​ເດດ​ຮຸ່ນ 4.8.4 ເພື່ອ​ປິດ​ຊ່ອງ​ໂຫວ່​ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ສູງ​ຫຼາຍ​ລາຍ​ການ​ທີ່​ເປີດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເຂົ້າ​ຍຶດ​ເວັບ​ໄຊ​​ໄດ້​ຈາກ​ໄລຍະ​ໄກ ແລະ​ ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ງານ​​ອັບ​ເດດ​ທັນ​ທີ​ກ່ອນທີ່ຈະ​ຖືກ​ໂຈມ​ຕີ.

News Images: phpmyadmin_path.jpg

Credit: phpMyAdmin

ສຳລັບ​ຊ່ອງ​ໂຫວ່​ທີ່​ຖືກ​ປິດ​ໃນ​ເທື່ອ​ນີ້​ຕົ້ນຕໍມີ​ 03 ລາຍ​ການ ດັ່ງ​ນີ້:

  • Local file inclusion (CVE-2018-19968) ເທິງ phpMyAdmin ຮຸ່ນ 4.0  – 4.8.3 ເປີດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ໄຟ​ລ໌​ຕ່າງ​ໆ ເທິງ Server ໄດ້​ຈາກ​ໄລຍະ​​ໄກ;
  • Cross-Site Request Forgery (CSRF)/XSRF (CVE-2018-19969) ເທິງ phpMyAdmin ຮຸ່ນ 4.7.0 – 4.7.6 ແລະ 4.8.0 – 4.8.3 ທີ່​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເອີ້ນ​ໃຊ້ SQL Operation ໄດ້ ຖ້າ​ຫາກ​ເຫຍື່ອ​​ເປີດ​ລິ້ງ​​ທີ່​ຖືກ​ສ້າງ​ຂຶ້ນ​ມາ​ເພື່ອ​ໂຈມ​ຕີ​ໂດຍ​ສະເພາະ;
  • Cross-site scripting (XSS) (CVE-2018-19970) ເທິງ phpMyAdmin ຮຸ່ນ 4.0 – 4.8.3 ໂດຍ​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ Inject ໂຄ້​ດ​ທີ່​ຕ້ອງ​ການ​ໄປ​​ໜ້າ Dashboard ໄດ້​ຜ່ານ​ຊື່ Database ຫຼື Table ທີ່​ຖືກ​ຕັ້ງ​ຂຶ້ນ​ມາ​ ເພື່ອ​ໃຊ້​ໂຈມ​ຕີ​ໂດຍ​ສະເພາະ.

phpMyAdmin ຮຸ່ນ​ຫຼ້າ​ສຸດ​ສາມາດ​ໂຫຼດ​ໄດ້​ທີ່ https://www.phpmyadmin.net/downloads/

ເອກະສານອ້າງອີງ:

  1. https://thehackernews.com/2018/12/phpmyadmin-security-update.html
  2. https://www.techtalkthai.com/phpmyadmin-releases-new-patch-to-fix-3-vulnerabilities/