Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (25.11.2014):
Für Fedora EPEL 7 steht ein Sicherheitsupdate auf phpMyAdmin Version
4.2.12 zur Verfügung.
Version 2 (24.11.2014):
Für die Distributionen Fedora 19, 20 und 21 stehen Sicherheitsupdates auf
Version 4.2.12 zur Verfügung. Für Fedora EPEL 5 und EPEL 6 stehen
Sicherheitsupdates auf Version 4.0.10.6 bereit, die sich dementsprechend
nur auf zwei Schwachstellen beziehen.
Version 1 (21.11.2014):
Neues Advisory

Betroffene Software:

phpMyAdmin <= 4.0.10.5 phpMyAdmin <= 4.1.14.6 phpMyAdmin <= 4.2.11 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Mehrere Schwachstellen ermöglichen einem entfernten, authentifizierten Benutzer, als Angreifer, Informationen auszuspähen oder einen Cross-Site-Scripting-Angriff durchzuführen. Diese Schwachstellen werden durch ein Upgrade auf phpMyAdmin 4.0.10.6 oder neuer (nur CVE-2014-8958 und CVE-2014-8959), 4.1.14.7 oder neuer, 4.2.12 oder neuer, bzw. durch die in den Hersteller-Advisories angegebenen Patches behoben. Patch: phpMyAdmin Security Advisory PMASA-2014-13 http://www.phpmyadmin.net/home_page/security/PMASA-2014-13.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-14

http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-15

http://www.phpmyadmin.net/home_page/security/PMASA-2014-15.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-16

http://www.phpmyadmin.net/home_page/security/PMASA-2014-16.php

Patch:

Fedora Security Update FEDORA-2014-15535

https://admin.fedoraproject.org/updates/FEDORA-2014-15535/phpMyAdmin-4.2.12-1.fc19

Patch:

Fedora Security Update FEDORA-2014-15538

https://admin.fedoraproject.org/updates/FEDORA-2014-15538/phpMyAdmin-4.2.12-1.fc20

Patch:

Fedora Security Update FEDORA-2014-15588

https://admin.fedoraproject.org/updates/FEDORA-2014-15588/phpMyAdmin-4.2.12-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4211

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4211/phpMyAdmin-4.0.10.6-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-4219

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4219/phpMyAdmin4-4.0.10.6-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2014-4252

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4252/phpMyAdmin-4.2.12-1.el7

CVE-2014-8961: Eine Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Fehler-Report-Seite
führt dazu, dass der Parameter, der die Datei spezifiziert, nicht korrekt
geprüft wird. Dadurch ist es möglich, die Anzahl der Zeilen in einer
beliebigen Datei zu erhalten. Ein entfernter, authentifizierter Benutzer,
als Angreifer, kann Informationen ausspähen.

CVE-2014-8960: Schwachstelle in Report Funktion ermöglicht einen
Cross-Site-Scripting-Angriff

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Fehler-Report-Seite
führt dazu, dass Dateinamen nicht korrekt geprüft werden. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann einen
Cross-Site-Scripting-Angriff durchführen.

CVE-2014-8959: Eine Schwachstelle im GIS Editor ermöglicht das Manipulieren
von Dateien

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit dem GIS-Editor führt
dazu, dass der Parameter, der den Geometrie-Typ spezifiziert, nicht korrekt
überprüft wird. Dadurch kann, in nicht näher beschriebener Weise, auf
lokale Dateien zugegriffen werden. Ein lokaler, authentifizierter Benutzer,
als Angreifer, kann Dateien manipulieren.

CVE-2014-8958: Mehrere Schwachstellen in phpMyAdmin ermöglichen
Cross-Site-Scripting-Angriffe

Mehrere Schwachstellen in phpMyAdmin führen dazu, dass durch (1)
manipulierte Datenbanken, Tabellen oder Zeilen-Namen in Tabellen-Seiten im
Browser, (2) einen manipulierten ENUM Wert in der Druckansicht einer Tabelle
und im Zoom der Suchseite sowie (3) durch manipulierte Zeichengrößen in der
Start-Seite, Cross-Site-Scripting-Angriffe möglich sind. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann durch das Ausnutzen der
Schwachstellen Cross-Site-Scripting-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1521/

phpMyAdmin Security Advisory PMASA-2014-13:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-13.php

phpMyAdmin Security Advisory PMASA-2014-14:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

phpMyAdmin Security Advisory PMASA-2014-15:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-15.php

phpMyAdmin Security Advisory PMASA-2014-16:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-16.php

Schwachstelle CVE-2014-8958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8958

Schwachstelle CVE-2014-8959 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8959

Schwachstelle CVE-2014-8960 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8960

Schwachstelle CVE-2014-8961 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8961

Fedora Security Update FEDORA-2014-15535:
https://admin.fedoraproject.org/updates/FEDORA-2014-15535/phpMyAdmin-4.2.12-1.fc19

Fedora Security Update FEDORA-2014-15538:
https://admin.fedoraproject.org/updates/FEDORA-2014-15538/phpMyAdmin-4.2.12-1.fc20

Fedora Security Update FEDORA-2014-15588:
https://admin.fedoraproject.org/updates/FEDORA-2014-15588/phpMyAdmin-4.2.12-1.fc21

Fedora Security Update FEDORA-EPEL-2014-4211:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4211/phpMyAdmin-4.0.10.6-1.el6

Fedora Security Update FEDORA-EPEL-2014-4219:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4219/phpMyAdmin4-4.0.10.6-1.el5

Fedora Security Update FEDORA-EPEL-2014-4252:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4252/phpMyAdmin-4.2.12-1.el7

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.11.2014):
Für die Distributionen Fedora 19, 20 und 21 stehen Sicherheitsupdates auf
Version 4.2.12 zur Verfügung. Für Fedora EPEL 5 und EPEL 6 stehen
Sicherheitsupdates auf Version 4.0.10.6 bereit, die sich dementsprechend
nur auf zwei Schwachstellen beziehen.
Version 1 (21.11.2014):
Neues Advisory

Betroffene Software:

phpMyAdmin <= 4.0.10.5 phpMyAdmin <= 4.1.14.6 phpMyAdmin <= 4.2.11 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen ermöglichen einem entfernten, authentifizierten Benutzer, als Angreifer, Informationen auszuspähen oder einen Cross-Site-Scripting-Angriff durchzuführen. Diese Schwachstellen werden durch ein Upgrade auf phpMyAdmin 4.0.10.6 oder neuer (nur CVE-2014-8958 und CVE-2014-8959), 4.1.14.7 oder neuer, 4.2.12 oder neuer, bzw. durch die in den Hersteller-Advisories angegebenen Patches behoben. Patch: phpMyAdmin Security Advisory PMASA-2014-13 http://www.phpmyadmin.net/home_page/security/PMASA-2014-13.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-14

http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-15

http://www.phpmyadmin.net/home_page/security/PMASA-2014-15.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-16

http://www.phpmyadmin.net/home_page/security/PMASA-2014-16.php

Patch:

Fedora Security Update FEDORA-2014-15535

https://admin.fedoraproject.org/updates/FEDORA-2014-15535/phpMyAdmin-4.2.12-1.fc19

Patch:

Fedora Security Update FEDORA-2014-15538

https://admin.fedoraproject.org/updates/FEDORA-2014-15538/phpMyAdmin-4.2.12-1.fc20

Patch:

Fedora Security Update FEDORA-2014-15588

https://admin.fedoraproject.org/updates/FEDORA-2014-15588/phpMyAdmin-4.2.12-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4211

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4211/phpMyAdmin-4.0.10.6-1.el6

Patch:

Fedora Security Update FEDORA-EPEL-2014-4219

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4219/phpMyAdmin4-4.0.10.6-1.el5

CVE-2014-8961: Eine Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Fehler-Report-Seite
führt dazu, dass der Parameter, der die Datei spezifiziert, nicht korrekt
geprüft wird. Dadurch ist es möglich, die Anzahl der Zeilen in einer
beliebigen Datei zu erhalten. Ein entfernter, authentifizierter Benutzer,
als Angreifer, kann Informationen ausspähen.

CVE-2014-8960: Schwachstelle in Report Funktion ermöglicht einen
Cross-Site-Scripting-Angriff

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Fehler-Report-Seite
führt dazu, dass Dateinamen nicht korrekt geprüft werden. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann einen
Cross-Site-Scripting-Angriff durchführen.

CVE-2014-8959: Eine Schwachstelle im GIS Editor ermöglicht das Manipulieren
von Dateien

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit dem GIS-Editor führt
dazu, dass der Parameter, der den Geometrie-Typ spezifiziert, nicht korrekt
überprüft wird. Dadurch kann, in nicht näher beschriebener Weise, auf
lokale Dateien zugegriffen werden. Ein lokaler, authentifizierter Benutzer,
als Angreifer, kann Dateien manipulieren.

CVE-2014-8958: Mehrere Schwachstellen in phpMyAdmin ermöglichen
Cross-Site-Scripting-Angriffe

Mehrere Schwachstellen in phpMyAdmin führen dazu, dass durch (1)
manipulierte Datenbanken, Tabellen oder Zeilen-Namen in Tabellen-Seiten im
Browser, (2) einen manipulierten ENUM Wert in der Druckansicht einer Tabelle
und im Zoom der Suchseite sowie (3) durch manipulierte Zeichengrößen in der
Start-Seite, Cross-Site-Scripting-Angriffe möglich sind. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann durch das Ausnutzen der
Schwachstellen Cross-Site-Scripting-Angriffe durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1521/

phpMyAdmin Security Advisory PMASA-2014-13:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-13.php

phpMyAdmin Security Advisory PMASA-2014-14:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-14.php

phpMyAdmin Security Advisory PMASA-2014-15:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-15.php

phpMyAdmin Security Advisory PMASA-2014-16:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-16.php

Schwachstelle CVE-2014-8958 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8958

Schwachstelle CVE-2014-8959 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8959

Schwachstelle CVE-2014-8960 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8960

Schwachstelle CVE-2014-8961 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8961

Fedora Security Update FEDORA-2014-15535:
https://admin.fedoraproject.org/updates/FEDORA-2014-15535/phpMyAdmin-4.2.12-1.fc19

Fedora Security Update FEDORA-2014-15538:
https://admin.fedoraproject.org/updates/FEDORA-2014-15538/phpMyAdmin-4.2.12-1.fc20

Fedora Security Update FEDORA-2014-15588:
https://admin.fedoraproject.org/updates/FEDORA-2014-15588/phpMyAdmin-4.2.12-1.fc21

Fedora Security Update FEDORA-EPEL-2014-4211:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4211/phpMyAdmin-4.0.10.6-1.el6

Fedora Security Update FEDORA-EPEL-2014-4219:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4219/phpMyAdmin4-4.0.10.6-1.el5

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.