Yuks Upgrade phpMyAdmin sekarang! Ada 3 Bug Berbahaya

Tim pengembang phpMyAdmin kembali mengumumkan rilis terbaru dari aplikasi manajemen database milik mereka, phpMyAdmin. Versi yang dirilis adalah versi 4.8.4 yang merangkum sejumlah perbaikan terhadap 3 bug berbahaya (critical vulnerabilities).

Tiga bug berbahaya yang merupakan critical vulnerabilities ini antara lain:

Local file inclusion

salah satu komponen dari phpMyAdmin bisa dimanfaatkan hacker untuk membaca dan menampilkan file apapun dari server. Hacker terlebih dulu harus menguasai akses ke konfigurasi Storage phpMyAdmin untuk dapat melakukan serangan ini.

Lebih lengkap baca disini https://www.phpmyadmin.net/security/PMASA-2018-6/

XSRF/CSRF

Untuk kesekian kali phpMyAdmin terkena bug Cross-site Request Forgery, dimana hacker dengan cara memanipulasi URL phpMyAdmin tertentu, bisa dengan sangat mudah me-rename database, membuat tabel atau routin SQL baru, menghapus halaman designer, menambahkan atau menghapus user, mengupdate password user tertentu dan mematikan SQL server!

Sangat bahaya. Silakan baca lebih lanjut disini https://www.phpmyadmin.net/security/PMASA-2018-7/

XSS di menu Navigasi

Yang terakhir Cross-site Scripting yang menimpa salah satu komponen di menu Navigasi (database dan tabel). Dimana dengan kemampuan khusus, hacker bisa menambahkan script Javascript tambahan ke browser pengguna.

Javascript tambahan ini tidak terbatasi besar dan efek payload nya. Lebih lengkap silakan baca https://www.phpmyadmin.net/security/PMASA-2018-8/

Update Sekarang!

Tidak ada jalan lain gan, silakan update sekarang. Dari berapapun versinya, silakan upgrade ke versi 4.8.4. Lebih amannya, silakan hapus phpMyAdmin dan download source terbaru mereka dari www.phpmyadmin.net

Download phpMyAdmin versi 4.8.4 disini: https://files.phpmyadmin.net/phpMyAdmin/4.8.4/phpMyAdmin-4.8.4-all-languages.zip

Awas, phpMyAdmin disusupi backdoor!





Seorang hacker yang tidak dikenal telah berhasil mendistribusikan versi termodifikasi dari phpMyAdmin ke laman mereka di SourceForge. Modifikasi yang dilakukan termasuk menyusupkan sebuah backdoor ke dalam aplikasi tersebut. File yang disusupi adalah phpMyAdmin-3.5.2.2-all-languages.zip, yang tersedia di server Korea cdnetworks-kr-1 sejak tanggal 22 September lalu.

File yang jadi sasaran adalah file server_sync.php, yang memungkinkan penyerang untuk memasukkan sejumlah perintah berbahaya ke Server korban lewat bahasa PHP. Selain file PHP, file yang tersusupi adla file Continue reading Awas, phpMyAdmin disusupi backdoor!