DFN-CERT-2014-1069 phpMyAdmin: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting [Linux][Windows]

DFN-CERT-2014-1069 phpMyAdmin: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

phpMyAdmin >= 4.0.0
phpMyAdmin < 4.0.10.2 phpMyAdmin >= 4.1.0
phpMyAdmin < 4.1.14.3 phpMyAdmin >= 4.2.0
phpMyAdmin < 4.2.7.1 Betroffene Plattformen: GNU/Linux Microsoft Windows Durch mehrere Schwachstellen in phpMyAdmin kann ein entfernter, einfach authentifizierter Angreifer Cross-Site-Scripting-Angriffe durchführen. Patch: phpMyAdmin Security Advisory PMASA-2014-8 http://www.phpmyadmin.net/home_page/security/PMASA-2014-8.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-9

http://www.phpmyadmin.net/home_page/security/PMASA-2014-9.php

CVE-2014-5274: Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting

Es besteht eine Schwachstelle in phpMyAdmin die Namen von
Datenbank-Relationen fehlerhaft bearbeitet . Ein entfernter und einfach
authentisierter Angreifer kann die Schwachstelle mit Hilfe von manipulierten
Namen zu einem Cross-Site-Scripting-Angriff ausnutzen.

CVE-2014-5273: Mehrere Schwachstellen in phpMyAdmin-Komponenten ermöglicht
Cross-Site-Scripting

In mehreren phpMyAdmin-Komponenten bestehen Schwachstellen. Datenbank-,
Tabellen- und Key-Namen werden fehlerhaft behandelt und können von einem
entfernten, einfach authentisierter Angreifer, mit Hilfe von veränderten
Datenbank- und Tabellennamen, sowie mit manipulierten Primary-Key
Bezeichnern, beim Löschen einer Spalte, zu Cross-Site-Scripting-Angriffen
ausgenutzt werden. Weiterhin werden Diagramme auf der Monitorseite und
Dialoge im ENUM-Editor fehlerhaft verarbeitet. Ein Angreifer kann mit
veränderten Werten, Koordinatenachsenbezeichnungen und Namen von
Datenbankrelationen die Schwachstelle zu
“Self-Cross-Site-Scripting-Angriffen” ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1069/

phpMyAdmin Security Advisory PMASA-2014-8:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-8.php

phpMyAdmin Security Advisory PMASA-2014-9:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-9.php

Schwachstelle CVE-2014-5273 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5273

Schwachstelle CVE-2014-5274 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5274

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben