DFN-CERT-2015-0711 phpMyAdmin: Zwei Schwachstellen ermöglichen die Manipulation von Daten [Linux][Fedora]

DFN-CERT-2015-0711 phpMyAdmin: Zwei Schwachstellen ermöglichen die Manipulation von Daten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

phpMyAdmin <= 4.0.10.9 phpMyAdmin <= 4.2.13.2 phpMyAdmin <= 4.3.13 phpMyAdmin <= 4.4.6 Betroffene Plattformen: GNU/Linux Red Hat Fedora 20 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Durch zwei Schwachstellen in phpMyAdmin ist es einem entfernten, nicht authentifizierten Angreifer möglich, Konfigurations- und Programmdaten zu manipulieren. Die Entwickler von phpMyAdmin informieren in einem Advisory darüber, dass die Version 4.0.x bis 4.0.10.9, 4.2.x bis 4.2.13.2, 4.3.x bis 4.3.13 und 4.4.x bis 4.4.6 von den Schwachstellen betroffen sind und empfehlen ein Update auf die Versionen 4.0.10.10, 4.2.13.3, 4.3.13.1 oder 4.4.6.1. Für Fedora EPEL 5, 6 und 7 sowie Fedora 20, 21 und 22 werden Sicherheitsupdates im Status 'testing' bereitgestellt. Patch: Fedora Security Update FEDORA-2015-8190 https://admin.fedoraproject.org/updates/FEDORA-2015-8190/phpMyAdmin-4.4.6.1-1.fc22

Patch:

Fedora Security Update FEDORA-2015-8267

https://admin.fedoraproject.org/updates/FEDORA-2015-8267/phpMyAdmin-4.4.6.1-1.fc21

Patch:

Fedora Security Update FEDORA-2015-8274

https://admin.fedoraproject.org/updates/FEDORA-2015-8274/phpMyAdmin-4.4.6.1-1.fc20

Patch:

Fedora Security Update FEDORA-EPEL-2015-6273

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6273/phpMyAdmin-4.4.6.1-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2015-6279

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6279/phpMyAdmin-4.0.10.10-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2015-6286

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6286/phpMyAdmin4-4.0.10.10-1.el5

Patch:

phpMyAdmin Security Advisory PMASA-2015-2

http://www.phpmyadmin.net/home_page/security/PMASA-2015-2.php

Patch:

phpMyAdmin Security Advisory PMASA-2015-3

http://www.phpmyadmin.net/home_page/security/PMASA-2015-3.php

CVE-2015-3903: Schwachstelle in phpMyAdmin ermöglicht die Manipulation von
Daten

phpMyAdmin enthält einen Update-Mechanismus, um Programmcode unter
Verwendung von Curl über eine mit SSL/TLS-Zertifikaten geschützte Verbindung
zu der GitHub-API zu laden. Dabei wird allerdings nicht das
Server-Zertifikat überprüft, da die notwendigen Optionen abgeschaltet sind.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um als Mittelsmann Daten zu manipulieren.

CVE-2015-3902: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Request-Forgery-Angriff

Eine nicht näher beschriebene Schwachstelle wurde in phpMyAdmin gefunden.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, wenn er einen Benutzer zu dem Besuch einer speziell präparierten
URL verleiten kann, um ohne sein Wissen Konfigurationsdateien, die durch das
Setup von phpMyAdmin generiert werden, zu verändern
(Cross-Site-Request-Forgery).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0711/

Fedora Security Update FEDORA-2015-8190:
https://admin.fedoraproject.org/updates/FEDORA-2015-8190/phpMyAdmin-4.4.6.1-1.fc22

Fedora Security Update FEDORA-2015-8267:
https://admin.fedoraproject.org/updates/FEDORA-2015-8267/phpMyAdmin-4.4.6.1-1.fc21

Fedora Security Update FEDORA-2015-8274:
https://admin.fedoraproject.org/updates/FEDORA-2015-8274/phpMyAdmin-4.4.6.1-1.fc20

Fedora Security Update FEDORA-EPEL-2015-6273:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6273/phpMyAdmin-4.4.6.1-1.el7

Fedora Security Update FEDORA-EPEL-2015-6279:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6279/phpMyAdmin-4.0.10.10-1.el6

Fedora Security Update FEDORA-EPEL-2015-6286:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6286/phpMyAdmin4-4.0.10.10-1.el5

phpMyAdmin Security Advisory PMASA-2015-2:
http://www.phpmyadmin.net/home_page/security/PMASA-2015-2.php

phpMyAdmin Security Advisory PMASA-2015-3:
http://www.phpmyadmin.net/home_page/security/PMASA-2015-3.php

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben