Mehrere Sicherheitslücken wurden von den Entwicklern von PhpMyAdmin geschlossen, darunter eine, die als schwerwiegend eingestuft wird. Diese Sicherheitslücke erlaubt den Nutzer das auslesen von Dateien aus dem lokalen Dateisystem.

Ein Angreifer muss, laut der Meldung, Zugriff auf eine lokale, spezielle Konfigurationstabelle für PhpMyAdmin haben, jedoch kann er sich diese Tabelle selbst anlegen, wenn er auf eine beliebige Datenbank Schreibzugriff hat. Dadurch ist diese Sicherheitslücke ausnutzbar, wenn der Angreifer Zugangsdaten besitzt, die ihm den Zugriff auf eine beliebige Datenbank erlauben.

In erster Linie relevant ist die Lücke für Systeme, bei denen mehrere potentiell nicht vertrauenswürdige Nutzer mittels PhpMyAdmin auf Datenbanken zugreifen können. Häufig ist das bei Webhostern der Fall. Welche Daten damit ausgelesen werden können, hängt von der jeweiligen Konfiguration ab und mit welchen Rechten die jeweilige PhpMyAdmin-Installation läuft.

Ebenfalls wurden zwei weitere, als weniger kritisch eingestufte Sicherheitslücken behoben: Eine Cross-Site-Request-Forgery-Lücke kann dazu ausgenutzt werden, von fremden Webseiten aus bestimmte Datenbank-Operationen durchzuführen. Eine Cross-Site-Scripting-Lücke erlaubt es, mittels der Namen von Tabellen oder Datenbanken Javascript-Code bei anderen Nutzern auszuführen. Die Entwickler von PhpMyAdmin haben mit der am 11.12.2018 veröffentlichten Version 4.8.4 alle drei Sicherheitslücken geschlossen.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE