Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
phpMyAdmin
Betroffene Plattformen:
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
Mehrere Schwachstellen in phpMyAdmin ermöglichen einem entfernten, nicht
authentifizierten Angreifer die Durchführung von Cross-Site-Request-Forgery-
und Denial-of-Service-Angriffen, das Umgehen von Sicherheitsvorkehrungen und
Darstellen falscher Informationen sowie das Manipulieren von Daten. Ein
entfernter, einfach authentifizierter Angreifer kann zudem noch einen
Cross-Site-Scripting-Angriff durchführen.
Debian stellt für die alte stabile Distribution Wheezy und die stabile
Distribution Jessie Sicherheitsupdates bereit, wobei nicht alle genannten
Schwachstellen in beiden Distributionen vorhanden sind. Die
Cross-Site-Scripting- (CVE-2014-8958) und die
Denial-of-Service-Schwachstelle (CVE-2014-9218) bestehen nur für Wheezy. Das
Manipulieren von Daten (CVE-2015-3903), Umgehen von Sicherheitsvorkehrungen
(CVE-2015-6830) und das Darstellen falscher Informationen (CVE-2015-7873)
ist nur unter Jessie möglich.
Patch:
Debian Security Advisory DSA-3382-1
https://www.debian.org/security/2015/dsa-3382
CVE-2015-7873: Schwachstelle in phpMyAdmin ermöglicht Darstellen falscher
Informationen
Eine nicht näher genannte Schwachstelle in phpMyAdmin 4.4.x bevor 4.4.15.1
und 4.5.x bevor 4.5.1, die im Zusammenhang mit der Redirect-Funktion steht,
ermöglicht es einem Angreifer einen Content-Spoofing-Angriff durchzuführen,
während Benutzer auf externe URLs umgeleitet werden. Diese Schwachstelle
kann dazu verwendet werden, in einem folgenden Schritt weitere Angriffe, wie
etwa das Ausspähen von Informationen, durchzuführen, da ein Angreifer
Inhalte im Kontext einer vertrauenswürdigen Webseite anzeigen kann. Ein
entfernter, nicht authentifizierter Angreifer kann falsche Informationen
darstellen.
CVE-2015-6830: Schwachstelle in phpMyAdmin ermöglicht das Umgehen des
‘reCaptcha-Tests’
Eine Schwachstelle in phpMyAdmin 4.3.x bevor 4.3.13.2 und 4.4.x bevor
4.4.14.1 besteht darin, dass nach einem einmaligen ‘reCaptcha-Test’ ein
Brute-Force-Angriff zum Erraten von Benutzer-Anmeldedaten durchgeführt
werden kann, ohne dass weitere ‘reCaptcha-Tests’ beantwortet werden müssen.
Der Captcha-Test (Completely Automated Public Turing test to tell Computers
and Humans Apart) dient hier der Sicherstellung, dass eine Person die
Eingaben macht, um automatisierte Angriffe zu unterbinden. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um
Sicherheitsvorkehrungen zu umgehen und eine automatisierte
Brute-Force-Attacke zum Ausspähen von Zugangsdaten durchzuführen.
CVE-2015-3903: Schwachstelle in phpMyAdmin ermöglicht die Manipulation von
Daten
phpMyAdmin enthält einen Update-Mechanismus, um Programmcode unter
Verwendung von Curl über eine mit SSL/TLS-Zertifikaten geschützte Verbindung
zu der GitHub-API zu laden. Dabei wird allerdings nicht das
Server-Zertifikat überprüft, da die notwendigen Optionen abgeschaltet sind.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um als Mittelsmann Daten zu manipulieren.
CVE-2015-3902: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Request-Forgery-Angriff
Eine nicht näher beschriebene Schwachstelle wurde in phpMyAdmin gefunden.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, wenn er einen Benutzer zu dem Besuch einer speziell präparierten
URL verleiten kann, um ohne sein Wissen Konfigurationsdateien, die durch das
Setup von phpMyAdmin generiert werden, zu verändern
(Cross-Site-Request-Forgery).
CVE-2015-2206: Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von
Informtionen
Eine nicht näher beschriebene Schwachstelle in phpMyAdmin führt dazu, dass
durch eine große Anzahl von Anfragen der CSRF-Token mit Hilfe eines Browser
Reconnaissance und Exfiltration via Adaptive Compression of Hypertext
(BREACH) Angriff ermittelt werden kann. Ein entfernter, nicht
authentifizierter Angreifer kann sensible Informationen ausspähen.
CVE-2014-9218: Schwachstelle in phpMyAdmin ermöglicht
Denial-of-Service-Angriff
Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Passworteingabe
führt dazu, dass bei der Eingabe von sehr langen Passworten die verfügbaren
CPU Ressourcen aufgebraucht werden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.
CVE-2014-8958: Mehrere Schwachstellen in phpMyAdmin ermöglichen
Cross-Site-Scripting-Angriffe
Mehrere Schwachstellen in phpMyAdmin führen dazu, dass durch (1)
manipulierte Datenbanken, Tabellen oder Zeilen-Namen in Tabellen-Seiten im
Browser, (2) einen manipulierten ENUM Wert in der Druckansicht einer Tabelle
und im Zoom der Suchseite sowie (3) durch manipulierte Zeichengrößen in der
Start-Seite, Cross-Site-Scripting-Angriffe möglich sind. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann durch das Ausnutzen der
Schwachstellen Cross-Site-Scripting-Angriffe durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1681/
Schwachstelle CVE-2014-8958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8958
Schwachstelle CVE-2014-9218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9218
Schwachstelle CVE-2015-2206 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2206
Schwachstelle CVE-2015-3902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3902
Schwachstelle CVE-2015-3903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3903
Schwachstelle CVE-2015-6830 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6830
Schwachstelle CVE-2015-7873 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7873
Debian Security Advisory DSA-3382-1:
https://www.debian.org/security/2015/dsa-3382
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
