UPDATE: DFN-CERT-2014-1213 phpMyAdmin: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][Windows]

UPDATE: DFN-CERT-2014-1213 phpMyAdmin: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.09.2014):
Für Fedora 19 und Fedora 20 stehen Sicherheitsupdates bereit.
Version 2 (17.09.2014):
Für Fedora 21 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (15.09.2014):
Neues Advisory

Betroffene Software:

phpMyAdmin <= 4.0.10.2 phpMyAdmin <= 4.1.14.3 phpMyAdmin <= 4.2.8 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder in bestimmten Fällen Administratorrechte zu erlangen. Patch: phpMyAdmin Security Advisory PMASA-2014-10 http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

Patch:

Fedora Security Update FEDORA-2014-10885

https://admin.fedoraproject.org/updates/FEDORA-2014-10885/phpMyAdmin-4.2.8.1-1.fc21

Patch:

Fedora Security Update FEDORA-2014-10981

https://admin.fedoraproject.org/updates/FEDORA-2014-10981/phpMyAdmin-4.2.8.1-2.fc20

Patch:

Fedora Security Update FEDORA-2014-10989

https://admin.fedoraproject.org/updates/FEDORA-2014-10989/phpMyAdmin-4.2.8.1-2.fc19

CVE-2014-6300: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Request-Forgery

In phpMyAdmin besteht, ausgehend von einer lokalen
Cross-Site-Scripting-Schwachstelle (DOM-based-XSS) in der “microhistory”
Funktion, eine Cross-Site-Request-Forgery-Schwachstelle (CSRF). Ein
entfernter, nicht authentisierter Angreifer kann, mit Hilfe einer
veränderten URL, die Schwachstelle ausnutzen um beliebigen Programmcode zur
Ausführung zu bringen oder in bestimmten Fällen Administratorrechte zu
erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1213/

phpMyAdmin Security Advisory PMASA-2014-10:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

Schwachstelle CVE-2014-6300 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6300

Fedora Security Update FEDORA-2014-10885:
https://admin.fedoraproject.org/updates/FEDORA-2014-10885/phpMyAdmin-4.2.8.1-1.fc21

Fedora Security Update FEDORA-2014-10981:
https://admin.fedoraproject.org/updates/FEDORA-2014-10981/phpMyAdmin-4.2.8.1-2.fc20

Fedora Security Update FEDORA-2014-10989:
https://admin.fedoraproject.org/updates/FEDORA-2014-10989/phpMyAdmin-4.2.8.1-2.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

UPDATE: DFN-CERT-2014-1213 phpMyAdmin: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.09.2014):
Für Fedora 21 steht ein Sicherheitsupdate zur Verfügung.
Version 1 (15.09.2014):
Neues Advisory

Betroffene Software:

phpMyAdmin <= 4.0.10.2 phpMyAdmin <= 4.1.14.3 phpMyAdmin <= 4.2.8 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Red Hat Fedora 21 Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen oder in bestimmten Fällen Administratorrechte zu erlangen. Patch: phpMyAdmin Security Advisory PMASA-2014-10 http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

Patch:

Fedora Security Update FEDORA-2014-10885

https://admin.fedoraproject.org/updates/FEDORA-2014-10885/phpMyAdmin-4.2.8.1-1.fc21

CVE-2014-6300: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Request-Forgery

In phpMyAdmin besteht, ausgehend von einer lokalen
Cross-Site-Scripting-Schwachstelle (DOM-based-XSS) in der “microhistory”
Funktion, eine Cross-Site-Request-Forgery-Schwachstelle (CSRF). Ein
entfernter, nicht authentisierter Angreifer kann, mit Hilfe einer
veränderten URL, die Schwachstelle ausnutzen um beliebigen Programmcode zur
Ausführung zu bringen oder in bestimmten Fällen Administratorrechte zu
erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1213/

phpMyAdmin Security Advisory PMASA-2014-10:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

Schwachstelle CVE-2014-6300 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6300

Fedora Security Update FEDORA-2014-10885:
https://admin.fedoraproject.org/updates/FEDORA-2014-10885/phpMyAdmin-4.2.8.1-1.fc21

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben