Bedrohung durch Datenausspähung und SQL-Injection

phpMyAdmin 4.8.5 bringt wichtiges Sicherheitsupdate
Keine Kommentare

Das phpMyAdmin-Team gibt die Veröffentlichung der phpMyAdmin Version 4.8.5 bekannt. Neben Fehlerbehebungen enthält diese wichtige Sicherheitsupdates. Ein Upgrade wird für alle Benutzer dringend empfohlen.

phpMyAdmin ist eine freie Webanwendung zur Administration von MySQL-Datenbanken. Durch das aktuelle Sicherheitsupdate wurden zwei gravierende Schwachstellen behoben. So gab es eine Sicherheitslücke, die es Angreifern erlaubte Daten auszuspähen. Eine weitere sicherheitsrelevante Schwachstelle ermöglichte das Einschleusen und die Ausführung von SQL-Befehlen. Die behobenen Sicherheitslücken aus der Release Note zu phpMyAdmin 4.8.5 noch einmal im Detail:

  • Sicherheitsanfälligkeit beim Lesen von Dateien
    Die entdeckte Sicherheitsanfälligkeit durch willkürliches Lesen von Dateien kann auch zum Löschen beliebiger Dateien auf dem Server ausgenutzt werden. Dieser Angriff erfordert, dass phpMyAdmin ausgeführt wird, wobei die Direktive $ cfg ['AllowArbitraryServer'] auf true gesetzt ist. Dies ist nicht die Standardeinstellung. Ein Angreifer muss einen schädlichen Serverprozess ausführen, der sich als MySQL-Server tarnt. Dieser Exploit wurde kürzlich in mehreren anderen verwandten Projekten gefunden und behoben und scheint, laut der phpMyAdmin Release Note, durch einen Fehler in PHP verursacht worden zu sein. Betroffen sind phpMyAdmin-Versionen von mindestens 4.0 bis 4.8.4.
  • SQL-Injection in der Designer-Oberfläche
    Es wurde eine Schwachstelle entdeckt, bei der ein speziell gestalteter Benutzername verwendet werden kann, um einen SQL-Injection-Angriff über die Designer-Funktion auszulösen. Betroffen sind phpMyAdmin-Versionen von 4.5.0 bis 4.8.4.

Für die Nutzer wird empfohlen: Aktualisieren auf phpMyAdmin 4.8.5 oder den dort aufgeführten Patch zu verwenden.

Sicherheitsupdate mit weiteren Bugfixes

Zusätzlich zu den Sicherheitsupdates enthält die neue Version laut der Release Notes u.a. auch diese Bugfixes:

  • Export in das SQL-Format nicht verfügbar
  • QR-Code wird nicht angezeigt, wenn einem Benutzerkonto die Zwei-Faktor-Authentifizierung hinzugefügt wird
  • Problem beim Hinzufügen eines neuen Benutzers in MySQL 8.0.11
  • Eingefrorenes Interface bezüglich Text_Plain_Sql Plugin
  • Registerkarte „Operationen“ auf Tabellenebene fehlte

Weiterführende Informationen sind in der Veröffentlichungsmeldung zu phpMyAdmin 4.8.5 zu finden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -