UPDATE: DFN-CERT-2017-0555 phpMyAdmin: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE][Apple][Windows]

UPDATE: DFN-CERT-2017-0555 phpMyAdmin: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.04.2017):
Für openSUSE Leap 42.1 und openSUSE Leap 42.2 stehen Sicherheitsupdates
bereit, um diese Schwachstelle zu beheben.
Version 1 (30.03.2017):
Neues Advisory

Betroffene Software:

phpMyAdmin < 4.0.10.20 phpMyAdmin 4.4.x phpMyAdmin 4.6.x phpMyAdmin < 4.7.0 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.1 openSUSE Leap 42.2 Ein entfernter, nicht authentisierter Angreifer kann sich auf einfache Weise Zugang zu phpMyAdmin verschaffen, indem er Benutzernamen errät, für die kein Passwort eingerichtet ist. Die Sicherheitsvorkehrung, die den Zugang zur Weboberfläche ohne Passwort verhindern soll, wird abhängig von der Systemkonfiguration teilweise nicht durchgesetzt. Der Hersteller informiert über die Schwachstelle in phpMyAdmin und stellt die Versionen 4.0.10.20 und 4.0.7 als Sicherheitsupdates bereit. Die Schwachstelle betrifft ebenfalls die Versionszweige 4.4 und 4.6, welche nicht mehr mit Sicherheitsupdates versorgt werden. Workaround: Laut Hersteller betrifft die Schwachstelle anscheinend nur Installationen auf Systemen mit PHP 5, phpMyAdmin für PHP 7.0 ist nicht von dieser Schwachstelle betroffen. Die Schwachstelle kann mitigiert werden, indem ein sicheres Passwort für alle Benutzer ohne Passwort gesetzt wird. Patch: phpMyAdmin Security Advisory PMASA-2017-8 https://www.phpmyadmin.net/security/PMASA-2017-8/

Patch:

openSUSE Security Update openSUSE-SU-2017:1005-1

https://lists.opensuse.org/opensuse-updates/2017-04/msg00049.html

PMASA-2017-8: Schwachstelle in phpMyAdmin ermöglicht Umgehen von
Sicherheitsvorkehrungen

In bestimmten Versionen von PHP werden die durch die Konfiguration
“$cfg[‘Servers’][$i][‘AllowNoPassword’] = false” forcierten Einschränkungen
nicht durchgesetzt. Dadurch ist es Benutzern von phpMyAdmin möglich,
Benutzerkonten ohne Passwort zur Anmeldung zu verwenden, auch wenn das
ausdrücklich durch die Konfiguration verhindert werden soll.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0555/

phpMyAdmin Security Advisory PMASA-2017-8:
https://www.phpmyadmin.net/security/PMASA-2017-8/

openSUSE Security Update openSUSE-SU-2017:1005-1:
https://lists.opensuse.org/opensuse-updates/2017-04/msg00049.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben