Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket phpMyAdmin

Betroffene Plattformen:

openSUSE 12.1

Eine Schwachstelle in phpMyAdmin ermöglicht einem entfernten Angreifer
Kenntnisse über die interne Verzeichnisstruktur eines Webservers zu
erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2012-1902: Schwachstelle in phpMyAdmin

PhpMyAdmin 3.4.x vor Version 3.4.10.2 versäumt es in der Datei
‘show_config_errors.php’ zu prüfen, ob eine Konfigurationsdatei existiert.
Dies führt dazu, dass bei Nichtexistenz der Konfigurationsdatei der volle
Pfad dieser Datei als Fehlermeldung ausgegeben wird. Voraussetzung dafür
ist, dass in der Datei ‘php.ini’ die Optionen ‘error_reporting’ auf ‘E_ALL’
und ‘display_errors’ auf ‘On’ gesetzt sind. Einem entfernten Angreifer
ermöglicht dies Kenntnisse über die interne Verzeichnisstruktur des
Webservers zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0695/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-security-announce/

Schwachstelle CVE-2012-1902:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1902

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.