DFN-CERT-2014-1611 TYPO3 Extensions (phpMyAdmin): Mehrere Schwachstellen ermöglichen Cross-Site-Scripting- und Denial-of-Service-Angriffe [Linux][Windows]

DFN-CERT-2014-1611 TYPO3 Extensions (phpMyAdmin): Mehrere Schwachstellen ermöglichen Cross-Site-Scripting- und Denial-of-Service-Angriffe [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

phpMyAdmin <= 4.0.10.6 phpMyAdmin <= 4.1.14.7 phpMyAdmin <= 4.2.13 Typo3 Extension Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Durch Ausnutzen mehrerer Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer entweder Denial-of-Service- oder Cross-Site-Scripting-Angriffe durchführen oder Dateien manipulieren. Für die TYPO3 Extension "phpMyAdmin" (phpMyAdmin) wird ein Sicherheitsupdate zur Verfügung gestellt. Patch: TYPO3 Security Bulletin: TYPO3-EXT-SA-2014-018 https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-018/

CVE-2014-9218: Schwachstelle in phpMyAdmin ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Passworteingabe
führt dazu, dass bei der Eingabe von sehr langen Passworten die verfügbaren
CPU Ressourcen aufgebraucht werden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2014-8959: Eine Schwachstelle im GIS Editor ermöglicht das Manipulieren
von Dateien

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit dem GIS-Editor führt
dazu, dass der Parameter, der den Geometrie-Typ spezifiziert, nicht korrekt
überprüft wird. Dadurch kann, in nicht näher beschriebener Weise, auf
lokale Dateien zugegriffen werden. Ein lokaler, authentifizierter Benutzer,
als Angreifer, kann Dateien manipulieren.

CVE-2014-8958: Mehrere Schwachstellen in phpMyAdmin ermöglichen
Cross-Site-Scripting-Angriffe

Mehrere Schwachstellen in phpMyAdmin führen dazu, dass durch (1)
manipulierte Datenbanken, Tabellen oder Zeilen-Namen in Tabellen-Seiten im
Browser, (2) einen manipulierten ENUM Wert in der Druckansicht einer Tabelle
und im Zoom der Suchseite sowie (3) durch manipulierte Zeichengrößen in der
Start-Seite, Cross-Site-Scripting-Angriffe möglich sind. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann durch das Ausnutzen der
Schwachstellen Cross-Site-Scripting-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1611/

Schwachstelle CVE-2014-8958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8958

Schwachstelle CVE-2014-8959 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8959

Schwachstelle CVE-2014-9218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9218

TYPO3 Security Bulletin: TYPO3-EXT-SA-2014-018:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-018/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben