Lỗi nghiêm trọng trong phpMyAdmin và công cụ quản trị MySQL

Người sử dụng cơ sở dữ liệu nguồn mở ngày một phổ biến này có thể bị nguy cơ khai thác do khiếm khuyết trong phpMyAdmin, công cụ quản trị MySQL trên nền web đang được dùng rất rộng rãi.

Theo cảnh báo của dự án phát triển phpMyAdmin, lỗi nằm ở phương thức xử lý những thao tác chuyển đổi bên ngoài của hệ thống chuyển đổi dựa trên MIME nằm trong phpMyAdmin. Những kẻ lợi dụng có thể khai thác lỗ hổng này để tung ra những lệnh tùy thích trên máy chủ web với quyền ưu tiên của chủ máy.

Tuy nhiên, khiếm khuyết chỉ có thể thực sự bị khai thác trên những hệ thống mà chế độ an toàn (safe mode) của php bị tắt đi. Hãng phần mềm bảo mật Đan Mạc Secunia đánh giá lỗi này khá nghiêm trọng khi xếp nó vào hàng nguy cơ cao. Trên website của dự án phpMyAdmin đã cung cấp bản khắc phục lỗi này.

Khiếm khuyết vừa phát hiện có thể được coi là nghiêm trọng nhất từng được ghi nhận trong phpMyAdmin đến nay. Một số lỗi trước kia, cho phép thay đổi thiết lập cấu hình, chèn mã…., chỉ là những nguy cơ ở cấp thấp.

Mặc dù phải cạnh tranh với một số đối thủ khác, phpMyAdmin đã trở thành chuẩn không chính thức trong việc kiểm soát các cơ sở dữ liệu MySQL qua giao diện web. Tương tự như một số cơ sở dữ liệu nguồn mở khác, MySQL đã giành được vị thế vững chắc trên thị trường cơ sở dữ liệu, đặc biệt là trong cộng đồng các doanh nghiệp vừa và nhỏ.

Liên quan đến vấn đề khiếm khuyết, các chuyên gia bảo mật vừa cho biết những bản update gần đây của trình duyệt Internet Explorer bị tái phát một lỗi nghiêm trọng khiến hệ thống có thể bị nguy cơ tấn công. Khiếm khuyết này đã xuất hiện cách đây 2 năm, liên quan đến phương thức mà trình duyệt của Microsoft xử lý các file XML. Sau đó, một chương trình vá lỗi đã được phát hành trong bản tin an ninh MS02-047 và vấn đề coi như chấm dứt. Thế nhưng tuần qua, chuyên gia Georgi Guninski của hãng GreyMagic Software (Israel) sau khi thử nghiệm đã phát hiện sự trở lại của lỗ hổng này và nhận thấy bản vá lỗi trước đó hoàn toàn vô tác dụng. Bản nâng cấp định kỳ hàng tháng vừa qua của Microsoft cũng không khắc phục lỗi này.

Thứ Bảy, 16/10/2004 08:15
31 👨 942
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp