Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (28.10.2014):
Für Fedora EPEL 5 wird ein aktualisiertes Paket phpMyAdmin4-4.0.10.5-1.el5
zur Verfügung gestellt.
Version 2 (23.10.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 sowie für EPEL 6
und EPEL 7 stehen Sicherheitsupdates zur Verfügung.
Version 1 (22.10.2014):
Neues Advisory
Betroffene Software:
phpMyAdmin <= 4.0.10.4 phpMyAdmin <= 4.1.14.5 phpMyAdmin <= 4.2.9.1 Betroffene Plattformen: Apple Mac OS X GNU/Linux Microsoft Windows Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in phpMyAdmin ermöglicht einem entfernten, authentifizierten Angreifer, einen Cross-Site-Scripting-Angriff durchzuführen. Patch: phpMyAdmin Security Advisory PMASA-2014-12 http://www.phpmyadmin.net/home_page/security/PMASA-2014-12.php
Patch:
Fedora Security Update FEDORA-2014-13479
https://admin.fedoraproject.org/updates/FEDORA-2014-13479/phpMyAdmin-4.2.10.1-1.fc21
Patch:
Fedora Security Update FEDORA-2014-13504
https://admin.fedoraproject.org/updates/FEDORA-2014-13504/phpMyAdmin-4.2.10.1-1.fc19
Patch:
Fedora Security Update FEDORA-2014-13521
https://admin.fedoraproject.org/updates/FEDORA-2014-13521/phpMyAdmin-4.2.10.1-1.fc20
Patch:
Fedora Security Update FEDORA-EPEL-2014-3530
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3530/phpMyAdmin-4.2.10.1-1.el7
Patch:
Fedora Security Update FEDORA-EPEL-2014-3533
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3533/phpMyAdmin-4.0.10.5-1.el6
Patch:
Fedora Security Update FEDORA-EPEL-2014-3651
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3651/phpMyAdmin4-4.0.10.5-1.el5
CVE-2014-8326: Cross-Site-Scripting-Schwachstelle in phpMyAdmin
Eine Schwachstelle in phpMyAdmin führt dazu, dass Programmcode, der in einer
manipulierten Datenbank oder einem manipulierten Tabellennamen steht,
ausgeführt wird. Dies gilt für SQL Debug Ausgaben und die Server Monitor
Seite, wenn Anfragen angesehen und ausgeführt werden. Ein entfernter,
authentifizierter Angreifer kann über die Schwachstelle einen
Cross-Site-Scripting-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1387/
phpMyAdmin Security Advisory PMASA-2014-12:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-12.php
Schwachstelle CVE-2014-8326 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8326
Fedora Security Update FEDORA-2014-13479:
https://admin.fedoraproject.org/updates/FEDORA-2014-13479/phpMyAdmin-4.2.10.1-1.fc21
Fedora Security Update FEDORA-2014-13504:
https://admin.fedoraproject.org/updates/FEDORA-2014-13504/phpMyAdmin-4.2.10.1-1.fc19
Fedora Security Update FEDORA-2014-13521:
https://admin.fedoraproject.org/updates/FEDORA-2014-13521/phpMyAdmin-4.2.10.1-1.fc20
Fedora Security Update FEDORA-EPEL-2014-3530:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3530/phpMyAdmin-4.2.10.1-1.el7
Fedora Security Update FEDORA-EPEL-2014-3533:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3533/phpMyAdmin-4.0.10.5-1.el6
Fedora Security Update FEDORA-EPEL-2014-3651:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3651/phpMyAdmin4-4.0.10.5-1.el5
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
