Home > 전체기사
phpMyAdmin, 4.7.7버전 업데이트 시급
  |  입력 : 2018-01-03 16:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
phpMyAdmin서 테이블 삭제 등 가능한 CSRF 취약점 발견
DB 운영 관련 URL이 브라우저 히스토리 등에 저장되기도


[보안뉴스 오다인 기자] phpMyAdmin에서 치명적인 취약점이 발견된 뒤 패치됐다. 교차 사이트 요청 위조(CSRF: Cross Site Request Forgery) 취약점으로, 인도의 보안 연구자 아슈토시 바롯(Ashutosh Barot)이 발견했다.

[이미지=iclickart]


phpMyAdmin은 PHP 언어로 작성된 무료 소프트웨어 툴로, MySQL을 웹에서 관리하기 위해 만들어졌다. phpMyAdmin은 데이터베이스, 테이블, 컬럼, 관계, 인덱스, 이용자, 권한 등을 관리하는 데 자주 사용되고 있다. 해외 보안 매체 시큐리티위크(Securityweek)는 phpMyAdmin이 매월 200,000회 이상 다운로드 되고 있다고 짚었다.

이번에 발견된 취약점은 공격자가 phpMyAdmin 상에서 테이블을 삭제(drop)하거나 기록을 없애는 등의 공격을 펼칠 수 있도록 했다. 시큐리티위크는 phpMyAdmin이 데이터베이스 운영 시 GET 요청을 사용하면서도 CSRF 보호를 제공하지 못하기 때문에 이런 유형의 공격이 가능하다고 설명했다. CSRF는 2013년 OWASP 10에 오른 취약점 중 하나다.



이 취약점을 발견한 바롯은 phpMyAdmin로 구축된 데이터베이스 운영과 관련된 URL들이 웹 브라우저 히스토리, SIEM 로그, 방화벽 로그, ISP 로그 등에 저장된다는 사실도 발견했다. 바롯은 이런 여러 가지 장소에 저장됨으로써 민감한 정보가 유출될 수도 있다고 경고했다.

▲phpMyAdmin 4.7.7버전 다운로드 페이지 [이미지=phpMyAdmin 홈페이지 캡처]


phpMyAdmin 개발자들은 본 취약점을 ‘치명적(critical)’인 취약점으로 분류한 뒤 패치, 이후 4.7.7버전으로 배포했다고 시큐리티위크는 전했다. 이전 버전들은 모두 이 취약점에 노출되기 때문에 phpMyAdmin 이용자라면 신속히 업데이트를 진행해야 한다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향