0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Спустя 10 лет дождались: 1Password придёт на Linux

Разработчики менеджера паролей 1Password наконец услышали просьбы пользователей Linux, которые уже лет десять просят сделать версию программы под их любимую операционную систему. На данный момент Linux-версия софта находится в стадии закрытого тестирования.

Согласно размещённой информации, в настоящее время приложение работает только в режиме чтения. Нет возможности отредактировать учётные данные или создать новую запись.

Если вам интересно попробовать продукт в таком виде, никто вам не запретит, однако стоит всё же учитывать, что он далёк от окончательной версии. В готовом же варианте 1Password для Linux разработчики обещают реализовать поддержку сетевых паролей: FTP, SSH и SMB.

На бэкенд-стороне 1Password работает на языке программирования Rust, для сквозного шифрования используется библиотека с открытым исходным кодом.

Интерфейс приложения разработчики пишут при помощи JavaScript-библиотеки React.

Если вы работаете в команде, разрабатывающей проекты с открытым исходным кодом, создатели 1Password смогут предоставить вам бесплатный аккаунт. Для этого нужно оставить запрос здесь.

1Password синхронизирует данные пользователей на собственных серверах. При этом разработчики подчёркивают, что компания не отслеживает своих клиентов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru