UPDATE: DFN-CERT-2014-1584 phpMyAdmin: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora][SuSE][Windows]

UPDATE: DFN-CERT-2014-1584 phpMyAdmin: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff [Linux][Fedora][SuSE][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (15.12.2014):
Für die Distributionen openSUSE 12.3, openSUSE 13.1 und openSUSE 13.2
wurden Sicherheitsupdates veröffentlicht.
Version 3 (08.12.2014):
Für die Distributionen Fedora 19 und Fedora 20 stehen Sicherheitsupdates
zur Verfügung.
Version 2 (05.12.2014):
Für Fedora 21, Fedora EPEL 7, EPEL 6 und EPEL 5 stehen Sicherheitsupdates
zur Verfügung. Fedora 21 und EPEL 7 werden auf die Version phpMyAdmin
4.2.13.1 aktualisiert. EPEL 6 und EPEL 5 erhalten ein Update auf die
Version phpMyAdmin 4.0.10.7, für diese Version ist nur die Schwachstelle
CVE-2014-9218 relevant.
Version 1 (04.12.2014):
Neues Advisory

Betroffene Software:

phpMyAdmin <= 4.0.10.6 phpMyAdmin <= 4.1.14.7 phpMyAdmin <= 4.2.13 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows openSUSE 12.3 openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in phpMyAdmin ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Cross-Site-Scripting- oder Denial-of-Service-Angriff durchzuführen. Patch: phpMyAdmin Security Advisory PMASA-2014-17 http://www.phpmyadmin.net/home_page/security/PMASA-2014-17.php

Patch:

phpMyAdmin Security Advisory PMASA-2014-18

http://www.phpmyadmin.net/home_page/security/PMASA-2014-18.php

Patch:

Fedora Security Update FEDORA-2014-16327

https://admin.fedoraproject.org/updates/FEDORA-2014-16327/phpMyAdmin-4.2.13.1-1.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2014-4430

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4430/phpMyAdmin4-4.0.10.7-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2014-4462

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4462/phpMyAdmin-4.2.13.1-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2014-4468

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4468/phpMyAdmin-4.0.10.7-1.el6

Patch:

Fedora Security Update FEDORA-2014-16358

https://admin.fedoraproject.org/updates/FEDORA-2014-16358/phpMyAdmin-4.2.13.1-1.fc20

Patch:

Fedora Security Update FEDORA-2014-16474

https://admin.fedoraproject.org/updates/FEDORA-2014-16474/phpMyAdmin-4.2.13.1-1.fc19

Patch:

openSUSE Security Update openSUSE-SU-2014:1636-1

http://lists.opensuse.org/opensuse-updates/2014-12/msg00054.html

CVE-2014-9219: Schwachstelle in phpMyAdmin ermöglicht
Cross-Site-Scripting-Angriff

Eine Schwachstelle in phpMyAdmin führt dazu, dass durch eine präparierte URL
der Umlenkungsmechanismus (redirection mechanism) ausgenutzt werden kann, um
eine Anfrage weiterzuleiten. Ein entfernter, nicht authentifizierter
Angreifer kann einen Cross-Site-Scripting-Angriff durchführen.

CVE-2014-9218: Schwachstelle in phpMyAdmin ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in phpMyAdmin im Zusammenhang mit der Passworteingabe
führt dazu, dass bei der Eingabe von sehr langen Passworten die verfügbaren
CPU Ressourcen aufgebraucht werden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1584/

phpMyAdmin Security Advisory PMASA-2014-17:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-17.php

phpMyAdmin Security Advisory PMASA-2014-18:
http://www.phpmyadmin.net/home_page/security/PMASA-2014-18.php

Schwachstelle CVE-2014-9218 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9218

Schwachstelle CVE-2014-9219 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9219

Fedora Security Update FEDORA-2014-16327:
https://admin.fedoraproject.org/updates/FEDORA-2014-16327/phpMyAdmin-4.2.13.1-1.fc21

Fedora Security Update FEDORA-EPEL-2014-4430:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4430/phpMyAdmin4-4.0.10.7-1.el5

Fedora Security Update FEDORA-EPEL-2014-4462:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4462/phpMyAdmin-4.2.13.1-1.el7

Fedora Security Update FEDORA-EPEL-2014-4468:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4468/phpMyAdmin-4.0.10.7-1.el6

Fedora Security Update FEDORA-2014-16358:
https://admin.fedoraproject.org/updates/FEDORA-2014-16358/phpMyAdmin-4.2.13.1-1.fc20

Fedora Security Update FEDORA-2014-16474:
https://admin.fedoraproject.org/updates/FEDORA-2014-16474/phpMyAdmin-4.2.13.1-1.fc19

openSUSE Security Update openSUSE-SU-2014:1636-1:
http://lists.opensuse.org/opensuse-updates/2014-12/msg00054.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben