Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (11.01.2016):
Für openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen
Sicherheitsupdates zur Verfügung.
Version 2 (29.12.2015):
Für Fedora 22 und 23 sowie EPEL 5, 6 und 7 stehen Sicherheitsupdates in
Form der Pakete phpMyAdmin-4.5.3.1-1.fc22, phpMyAdmin-4.5.3.1-1.fc23,
phpMyAdmin4-4.0.10.12-1.el5, phpMyAdmin-4.0.10.12-1.el6 und
phpMyAdmin-4.4.15.2-1.el7 im Status ‘pending’, bwz. ‘testing’ und ‘stable’
zur Verfügung.
Version 1 (28.12.2015):
Neues Advisory
Betroffene Software:
phpMyAdmin < 4.0.10.12 phpMyAdmin < 4.4.15.2 phpMyAdmin < 4.5.3.1 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Red Hat Fedora 22 Red Hat Fedora 23 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in phpMyAdmin ermöglicht einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen. Von phpMyAdmin stehen die Versionen 4.0.10.12, 4.4.15.2 und 4.5.3.1 als Sicherheitsupdates auf der Projektseite bereit, um die Schwachstelle zu schließen. Patch: phpMyAdmin Security Advisory PMASA-2015-6 https://www.phpmyadmin.net/security/PMASA-2015-6/
Patch:
Fedora Security Update FEDORA-2015-345966871c (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-345966871c
Patch:
Fedora Security Update FEDORA-2015-deb2bbdde0 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-deb2bbdde0
Patch:
Fedora Security Update FEDORA-EPEL-2015-d217d892ba (EPEL 7)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d217d892ba
Patch:
Fedora Security Update FEDORA-EPEL-2015-d712fb2a08 (EPEL 5)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d712fb2a08
Patch:
Fedora Security Update FEDORA-EPEL-2015-e29b297036 (EPEL 6)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-e29b297036
Patch:
openSUSE Security Update openSUSE-SU-2016:0067-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00014.html
CVE-2015-8669: Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von
Informationen
Eine Schwachstelle betrifft phpMyAdmin in den Versionen 4.0.x vor 4.0.10.12,
4.4.x vor 4.4.15.2 und 4.5.x vor 4.5.3.1. Durch den Aufruf einiger Skripte
auf eine bestimmte Weise wird phpMyAdmin dazu veranlasst, eine Fehlermeldung
anzuzeigen, die auch den vollständigen Installationspfad beinhaltet.
Voraussetzung ist allerdings, dass PHP mit der eingeschalteten Option
“display_errors” konfiguriert wurde, was entgegen der Empfehlungen von PHP
für Produktivsysteme ist.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1997/
phpMyAdmin Security Advisory PMASA-2015-6:
https://www.phpmyadmin.net/security/PMASA-2015-6/
Schwachstelle CVE-2015-8669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8669
Fedora Security Update FEDORA-2015-345966871c (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-345966871c
Fedora Security Update FEDORA-2015-deb2bbdde0 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-deb2bbdde0
Fedora Security Update FEDORA-EPEL-2015-d217d892ba (EPEL 7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d217d892ba
Fedora Security Update FEDORA-EPEL-2015-d712fb2a08 (EPEL 5):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-d712fb2a08
Fedora Security Update FEDORA-EPEL-2015-e29b297036 (EPEL 6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-e29b297036
openSUSE Security Update openSUSE-SU-2016:0067-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00014.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
