Open Source im professionellen Einsatz

PhpMyAdmin

PhpMyAdmin ist eine freie Webanwendung zur Administration von MySQL-Datenbanken. In der PhpMyAdmin-Applikation wurden kürzlich mehrere Sicherheitslücken entdeckt.

Die erste Schwachstelle ermöglicht es einem entfernten Angreifer an sensible SQL-Statements zu gelangen, die auf der Datenbank ausgeführt werden. Ursache hierfür ist ein Programmierfehler in der Verarbeitung von URLs. Dies ist in der <url.php>-Datei implementiert. Der darin enthalten Fehler führt dazu, dass der Angreifer SQL-Informationen direkt in der URL sehen kann. Betroffen hiervon sind die Versionen 4.6.2 und älter.

Bei dem zweiten Sicherheitsleck handelt es sich um eine typische Cross-Site-Skripting-Attacke. Hierdurch kann ein entfernter Angreifer unter anderem auf Cookies und verschiedene Aktionen auf der Website unter dem Account des Anwenders ausführen. Ursache hierfür sind Fehler beim Verarbeiten von HTML-Code, bevor dieser im Browser angezeigt wird. Der Code wird nicht richtig gefiltert, wodurch ein Angreifer eigenen Skript-Code hier einschleusen kann. Für den Anwender sieht dies alles so aus als würde es sich um reguläre Inhalte der besuchten Seite handeln. Betroffen hiervon sind die Versionen 4.4.x vor 4.4.15.6 und 4.6.x vor 4.6.2.

Das dritte Problem in PhpMyAdmin ermöglicht es einem entfernten Angreifer die Größe verschiedener Dateien auf dem System abzufragen. Hierzu muss der Angreifer allerdings in der Lage sein den Netzwerkverkehr zu überwachen und zu unterbrechen. In diesem Fall kann er dann HTTP POST-Anfragen seines Opfers modifizieren, um die Größe von Dateien abzufragen. Der verantwortliche Programmierfehler liegt in der Error-Handling-Komponente.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.