phpMyAdmin서 테이블 삭제 등 가능한 CSRF 취약점 발견
DB 운영 관련 URL이 브라우저 히스토리 등에 저장되기도

[보안뉴스 오다인 기자] phpMyAdmin에서 치명적인 취약점이 발견된 뒤 패치됐다. 교차 사이트 요청 위조(CSRF: Cross Site Request Forgery) 취약점으로, 인도의 보안 연구자 아슈토시 바롯(Ashutosh Barot)이 발견했다.


phpMyAdmin은 PHP 언어로 작성된 무료 소프트웨어 툴로, MySQL을 웹에서 관리하기 위해 만들어졌다. phpMyAdmin은 데이터베이스, 테이블, 컬럼, 관계, 인덱스, 이용자, 권한 등을 관리하는 데 자주 사용되고 있다. 해외 보안 매체 시큐리티위크(Securityweek)는 phpMyAdmin이 매월 200,000회 이상 다운로드 되고 있다고 짚었다.

이번에 발견된 취약점은 공격자가 phpMyAdmin 상에서 테이블을 삭제(drop)하거나 기록을 없애는 등의 공격을 펼칠 수 있도록 했다. 시큐리티위크는 phpMyAdmin이 데이터베이스 운영 시 GET 요청을 사용하면서도 CSRF 보호를 제공하지 못하기 때문에 이런 유형의 공격이 가능하다고 설명했다. CSRF는 2013년 OWASP 10에 오른 취약점 중 하나다.



이 취약점을 발견한 바롯은 phpMyAdmin로 구축된 데이터베이스 운영과 관련된 URL들이 웹 브라우저 히스토리, SIEM 로그, 방화벽 로그, ISP 로그 등에 저장된다는 사실도 발견했다. 바롯은 이런 여러 가지 장소에 저장됨으로써 민감한 정보가 유출될 수도 있다고 경고했다.


phpMyAdmin 개발자들은 본 취약점을 ‘치명적(critical)’인 취약점으로 분류한 뒤 패치, 이후 4.7.7버전으로 배포했다고 시큐리티위크는 전했다. 이전 버전들은 모두 이 취약점에 노출되기 때문에 phpMyAdmin 이용자라면 신속히 업데이트를 진행해야 한다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>