Foi relatada uma vulnerabilidade em que um nome de usuário especialmente criado pode ser usado para acionar um ataque de SQL injection por meio do recurso de Designer.
Mês: janeiro 2019
ASA-2019-00035 – phpMyAdmin: Leitura arbitrária de arquivo
Quando a configuração AllowArbitraryServer é definida como true, com o uso de um servidor MySQL, um atacante pode ler qualquer arquivo no servidor que o usuário do servidor da web possa acessar. phpMyadmin tenta bloquear o uso de LOAD DATA INFILE, mas devido a um bug no PHP, esta verificação não é respeitada. Além disso, ao usar a extensão 'mysql', o mysql.allow_local_infile é habilitado por padrão. Ambas as condições permitem que o ataque ocorra.
ASA-2019-00034 – OpenBSD: A chamada de sistema mincore() pode ser usada para observar padrões de acesso a memória de outros processos
A chamada de sistema mincore() pode ser usada para observar padrões de acesso a memória de outros processos.
ASA-2019-00033 – OpenBSD: A chamada de sistema unveil() pode vazar memória
A chamada de sistema unveil() pode vazar memória.
ASA-2019-00032 – Linux: Out-of-bounds write na função get_rx_bufs() em drivers/vhost/net.c
Uma falha foi encontrada na função handle_rx() do kernel Linux no driver [vhost_net]. Um convidado virtual malicioso, sob condições específicas, pode disparar um out-of-bounds write em uma slab kmalloc-8 em um host virtual, o que pode levar a uma corrupção de memória do kernel e travar o sistema. Devido à natureza da falha, a escalada de privilégios não pode ser totalmente descartada.