DFN-CERT-2014-0888 phpMyAdmin: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting und SQL-Injection [Linux][Debian]

DFN-CERT-2014-0888 phpMyAdmin: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting und SQL-Injection [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

phpMyAdmin

Betroffene Plattformen:

Debian Linux 7.5 Wheezy

Durch mehrere Schwachstellen in phpMyAdmin kann ein entfernter,
authentifizierter und nur in einem Fall nicht authentifizierter Angreifer
beliebige Web-Skripte oder HTML injizieren oder SQL-Befehle ausführen.

Patch:

Debian Security Advisory DSA-2975-1

https://www.debian.org/security/2014/dsa-2975

CVE-2013-5003: Schwachstelle in phpMyAdmin ermöglicht SQL-Injection

Es existieren mehrere SQL-Injection-Schwachstellen in phpMyAdmin 3.5.x vor
3.5.8.2 und 4.0.x vor 4.0.4.2. Ein entfernter, authentifizierter Angreifer
kann durch den “scale” Parameter in der “pmd_pdf.php” oder durch den
“pdf_page_number” Parameter in der “schema_export.php” beliebige SQL-Befehle
ausführen.

CVE-2013-5002: Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting

Es existiert eine Cross-Site-Scripting-Schwachstelle in
“libraries/schema/Export_Relation_Schema.class.php” in phpMyAdmin 3.5.x vor
3.5.8.2 und 4.0.x vor 4.0.4.2. Ein entfernter, authentifizierter Angreifer
kann, durch das Präparieren von Seitennummern in der “schema_export.php”,
beliebige Web-Skripte oder HTML injizieren.

CVE-2013-4996: Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting

Es existieren mehrere Cross-Site-Scripting-Schwachstellen in phpMyAdmin
3.5.x vor 3.5.8.2 und 4.0.x vor 4.0.4.2. Ein entfernter, nicht
authentifizierter Angreifer kann durch Angriffsvektoren, die präparierte
Datenbanknamen, präparierte Benutzernamen, präparierte Logo-URLs im
Navigation Panel, Einträge in einer bestimmten Proxy-Liste oder präparierten
Inhalt in einer “version.json” Datei, umfassen, beliebige Web-Skripte oder
HTML injizieren.

CVE-2013-4995: Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting

Es existiert eine Cross-Site-Scripting-Schwachstelle in phpMyAdmin 3.5.x vor
3.5.8.2 und 4.0.x vor 4.0.4.2. Ein entfernter, authentifizierter Angreifer
kann, durch präparierte SQL-Abfragen, die während der Anzeige von
Zeileninformationen nicht richtig behandelt werden, beliebige Web-Skripte
oder HTML injizieren.

CVE-2014-1879: phpMyAdmin: Schwachstelle ermöglicht Cross-Site-Scripting

In phpMyAdmin werden bestimmte Sonderzeichen in der HTML-Ausgabe im Modul
Import nicht ersetzt. Dies ermöglicht einem entfernten, angemeldeten
Angreifer durch das Importieren einer Datei mit einem präparierten
Dateinamen Cross-Site-Scripting-Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0888/

Schwachstelle CVE-2014-1879 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1879

Debian Security Advisory DSA-2975-1:
https://www.debian.org/security/2014/dsa-2975

Schwachstelle CVE-2013-4995 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4995

Schwachstelle CVE-2013-4996 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4996

Schwachstelle CVE-2013-5002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5002

Schwachstelle CVE-2013-5003 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5003

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben