Sicherheitslücke in phpMyAdmin

21. Dezember 2004, 10:33
1 Posting

AngreiferInnen können beliebige Befehle auf dem Datenbankserver ausführen

Im beliebten grafischen Admistrationsinterface für die Datenbanksoftware MySQL, phpMyAdmin, ist eine neue Sicherheitslücke aufgetaucht, die es AngreiferInnen ermöglicht beliebige Befehle auf dem Server auszuführen. Der Fehler liegt im MIME-basierten Transformationssystem, in dem bereits ein Problem aufgedeckt wurde. Der damalige Patch scheint nun das aktuelle Problem verursacht zu haben.

Eingeschränkt

Allerdings gibt es einige Einschränkungen, die die Gefährdung durch den Bug einschränken, so tritt das Problem nicht auf wenn der PHP Safe Mode aktiviert ist. Auch müssen externe Transformationen zugelassen werden.

Update

Die EntwicklerInnen von phpMyAdmin empfehlen das Upgrade auf die Version 2.6.1, so bald diese freigegeben ist. Wer akut gefährdet ist, kann so lang den Release Candidate verwenden, in dem das Problem ebenfalls bereits gefixt ist. (red)

  • Bild nicht mehr verfügbar
Share if you care.