0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Акронис Инфозащита отменяет плату за облачный бэкап

Компания «Акронис Инфозащита» сообщает, что для поддержки бизнеса своих партнеров и заказчиков для всех новых клиентов сервисов, работающих на базе «Acronis Защита Данных Облачная», отменяется плата за пользование услугой. Акция продлится до 31 июля 2020 года. Услугу предоставляют партнеры (сервис-провайдеры) компании «Акронис Инфозащита».

«Acronis Защита Данных Облачная» — это продукт для организации облачного сервиса резервного копирования (BaaS), который подходит для надежной защиты виртуальных, физических и облачных сред предприятий без существенной нагрузки на собственную ИТ-инфраструктуру. Услугу оказывают провайдеры облачных сервисов, построивших свои решения на базе «Acronis Защита Данных Облачная».

«В условиях кризиса и массового режима удаленной работы неизбежно возрастает уязвимость ИТ-инфраструктуры предприятия, а потеря критических данных может привести к потере всего бизнеса, — говорит Елена Бочерова, исполнительный директор компании «Акронис Инфозащита». — Мы хотим, чтобы как можно больше организаций приняли меры по защите своей информации и смогли пережить это непростое время, сосредоточившись на бизнесе, без дополнительных потерь и ударов».

Облачный сервис резервного копирования помогает защитить и быстро восстановить данные и работоспособность ИТ-системы предприятия как после атак программ-вымогателей, так и после любых других инцидентов, связанных с потерей данных. Резервные копии располагаются в надежном облачном хранилище «Акронис Инфозащиты», данные передаются по защищенным каналам, хранятся в зашифрованном виде, имеют активную защиту от повреждения или несанкционированного изменения.

Найти сервис-провайдера услуги помогут специалисты «Акронис Инфозащиты». Для этого необходимо отправить запрос на адрес: [email protected].

Акция распространяется на клиентов, хранящих свои данные в дата-центре «Акронис Инфозащиты».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru