PhpMyAdmin ve Facebook’ta geçen haftalarda bulunan önemli zafiyetler!

PhpMyAdmin Güncelleme Yayınlamak Zorunda kaldı: 

Öncelikle PhpMyAdmin nedir? PhpMyAdmin web tarayıcısında çalışan ve sizin veritabanı sistemlerinizi düzenlemeye yarayan açık kaynak kodlu bir yönetim aracıdır. 

PhpMyAdmin sürüm yöneticisi olan Isaac Bennetch bir açıklamada  “ Paketleyicilerin ve hosting sağlayıcılarının hazırlaması için herhangi bir güvenlik açığını önceden duyuran diğer projelerin (Mediawiki gibi) iş akışından ilham alıyoruz. Böyle bir iş akışının projemize uygun olup olmadığını görmeye çalışıyoruz.”dedi.

Önceki PhpMyAdmin’de bulunan güvenlik açıkları:

  • Local File Inclusion(Yerel Dosya Ekleme) (CVE-2018-19968) phpMyAdmin’in 4.0 ile 4.8.3 sürümleri arasında bulundu.Bu zafiyeti kullanarak sunucudaki yerel dosyalardan okumalarına olanak verebilecek bir yerel dosya içerme hatasından kaynaklanır.
  • CSRF (Cross Site Request Forgery) – (CVE-2018-19969) – Siteler Arası İstek Sahteciliği şeklinde Türkçe’mize çevirebiliriz. PhpMyAdmin 4.7.0 – 4.7.6 ve 4.8.0 – 4.8.3 sürümlerinde, bu zafiyet bulunmaktadır.Saldırganların veritabanlarını yeniden adlandırma, yeni tablolar / rutin oluşturma, tasarımcı sayfalarını silme, kullanıcı ekleme / silme, kullanıcı şifrelerini güncelleme gibi zararlı SQL işlemlerini gerçekleştirmelerine izin veren bir güvenlik açığından kaynaklanır.
  • XSS (Cross Site Scripting) – (CVE-2018-19970) – Siteler arası komut dosyası oluşturma şeklinde Türkçe’mize çevirebiliriz.  – phpMyAdmin 4.0’dan 4.8.3’e kadar olan sürümleri etkileyen bir siteler arası komut dosyası güvenlik açığı içerir. Özel hazırlanmış bir veritabanı / tablo adı aracılığıyla kötü amaçlı kodu panoya enjekte etmeye izin veren bir güvenlik açığından kaynaklanır.

Facebook 6.8 Milyon Kullanıcının Fotoğraflarını Sızdırdı:

Facebook bugün, fotoğraf paylaşım sisteminde yeni bir API hatası keşfettiğini duyurdu. Bu hata, 876 geliştiricinin, kullanıcıların Marketplace veya Facebook Hikayeleri’ne yüklenen resimler de dahil olmak üzere, zaman çizelgesinde hiç paylaşmadıkları özel fotoğraflarına erişmesine olanak tanıdı.
Facebook ise bu durumda “Bir kullanıcı, Facebook’ta fotoğraflarına erişmek için bir uygulamaya izin verdiğinde, genellikle yalnızca kullanıcıların zaman çizelgesinde paylaştığı fotoğraflara erişim izni veririz. Bu durumda, hata, geliştiricilere Marketplace’te paylaşılanlar gibi diğer fotoğraflara veya Hikayelere erişim izni verebilir.”dedi.

Asıl daha da kötüsü bu oluşan hata ile  kullanıcıların sisteme yükledikleri fakat henüz yayınlamadıkları fotoğrafları bile ortaya ortaya çıkardı.Bu zafiyet 13 Eylül ile 25 Eylül arasında yani 12 gün boyunca zafiyet keşfedilene kadar tüm kullanıcıların özel verilerini sızdırdı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

20 − 3 =