UPDATE: DFN-CERT-2017-2321 phpMyAdmin: Eine Schwachstelle ermöglicht Cross-Site-Request-Forgery [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2017-2321 phpMyAdmin: Eine Schwachstelle ermöglicht Cross-Site-Request-Forgery [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.01.2018):
Für SUSE Package Hub for SUSE Linux Enterprise 12 sowie für openSUSE Leap
42.2 und 42.3 stehen Sicherheitsupdates auf phpMyAdmin 4.7.7 zur
Verfügung.
Version 1 (27.12.2017):
Neues Advisory

Betroffene Software:

phpMyAdmin < 4.7.7 Betroffene Plattformen: SUSE Package Hub for SUSE Linux Enterprise 12 GNU/Linux openSUSE Leap 42.2 openSUSE Leap 42.3 Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in phpMyAdmin ermöglicht es einem entfernten, nicht authentisierten Angreifer, einen Cross-Site-Request-Forgery (XSRF/CSRF)-Angriff durchzuführen und dadurch beliebige Datenbankoperationen zur Ausführung zu bringen. Das phpMyAdmin-Projekt stellt die Version 4.7.7 als Sicherheitsupdate zum Herunterladen zur Verfügung. Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'phpMyAdmin-4.7.7-1.fc26' und 'phpMyAdmin-4.7.7-1.fc27' im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-481515e199 (Fedora 26, phpMyAdmin-4.7.7-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-481515e199

Patch:

Fedora Security Update FEDORA-2017-cad79c7c6c (Fedora 27,
phpMyAdmin-4.7.7-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cad79c7c6c

Patch:

phpMyAdmin Security Advisory PMASA-2017-9

https://www.phpmyadmin.net/security/PMASA-2017-9/

Patch:

openSUSE Security Update openSUSE-SU-2017:3448-1

https://lists.opensuse.org/opensuse-updates/2017-12/msg00110.html

Patch:

openSUSE Security Update openSUSE-SU-2017:3451-1

https://lists.opensuse.org/opensuse-updates/2017-12/msg00113.html

PMASA-2017-9: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Request-Forgery-Angriff

In phpMyAdmin werden unter Umständen SQL-Anfragen über
HTTP-GET-Anforderungen akzeptiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2321/

Fedora Security Update FEDORA-2017-481515e199 (Fedora 26,
phpMyAdmin-4.7.7-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-481515e199

Fedora Security Update FEDORA-2017-cad79c7c6c (Fedora 27,
phpMyAdmin-4.7.7-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cad79c7c6c

phpMyAdmin Security Advisory PMASA-2017-9:
https://www.phpmyadmin.net/security/PMASA-2017-9/

openSUSE Security Update openSUSE-SU-2017:3448-1:
https://lists.opensuse.org/opensuse-updates/2017-12/msg00110.html

openSUSE Security Update openSUSE-SU-2017:3451-1:
https://lists.opensuse.org/opensuse-updates/2017-12/msg00113.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben