Thema: phpMyAdmin ...

[SiLæncer]

In phpMyAdmin -- einem grafischen Web-Frontend zur Administration von MySQL-Datenbanken -- wurde eine Schwachstelle aufgedeckt, mit der Angreifer beliebige Befehle auf dem Server ausführen können. Schuld ist wieder das MIME-basierte Transformationssystem, in dem bereits im vergangenen Oktober eine Sicherheitslücke Angreifern das Absetzen von Befehlen ermöglichte. Der nun gefundene Fehler hat nach Angaben des Sicherheitsdienstleisters Exaprobe seinen Weg in die Software mit dem damaligen Patch (2.6.0-pl2) gefunden.

Auch diesmal müssen der PHP Safe Mode deaktiviert und externe Transformationen aktiviert sein, damit der Fehler zum Tragen kommt. Exaprobe hat in seinem Advisory ein Beispiel zum Ausnutzen der Lücke aufgeführt. Durch eine Schwachstelle in der UploadDir-Funktion lässt sich zudem der Inhalt von Dateien auf dem System anzeigen. Hier sind alle Version seit 2.4.0 betroffen. Die Entwickler haben beide Fehler in 2.6.1-rc1 beseitigt und empfehlen dringend den Wechsel auf 2.6.1, sobald die Release herausgegeben wird. Bis dahin sollten Anwender den PHP Safe Mode aktivieren oder externe Transformationen und UploadDir abschalten.

Quelle : www.heise.de

[SiLæncer]

Das weit verbreitete Webfrontend zur Administration von MySQL-Datenbanken PHPMyAdmin weist einen Programmierfehler auf, der es einem entfernten Angreifer erlaubt, lokale Dateien des Webservers auszulesen. Über so genanntes Directory Traversal via "../../" kann der Angreifer auch Dateien außerhalb des Web-Server-Rootverzeichnisses auslesen. Details und einen Demo-Exploit hat SecurityReason in einem Advisory veröffentlicht.

Wie Tests von heise Security bestätigten, ist die aktuelle Version 2.6.4-pl1 betroffen. Der Fehler hat sich mit der in Version 2.6.4-rc1 eingeführten Auswertung von Redirects in untergeordneten Formularen (Subforms) eingeschlichen. In libraries/grab_globals.lib.php wird gegen Ende per require('./' . $__redirect) eine Datei eingebunden, deren Name der Server zuvor ungeprüft per HTTP-POST mittels $__redirect = $_POST['redirect'] vom anfragenden Benutzer entgegen nimmt. Ein Patch ist noch nicht verfügbar, soll aber laut Fehlerdatenbank mit einer Version 2.6.4-pl2 demnächst erscheinen.

Siehe dazu auch:

    * Security Advisory von SecurityReason
    * Eintrag in der Fehlerdatenbank von PHPMyAdmin

Quelle und Links : http://www.heise.de/newsticker/meldung/64810

[SiLæncer]

Anwender des Datenbank-Frontends phpMyAdmin sollten die aktuelle Version 2.6.4-pl3 installieren, um zwei Sicherheitslücken zu schließen. Erst kürzlich wurde eine andere Sicherheitslücke geschlossen, mit der sich Dateien auslesen ließen.

Durch die nun neu geschlossene Lücke kann ein Angreifer durch die Übergabe bestimmter Parameter an einige Skripte die Konfiguration von phpMyAdmin zur Laufzeit überschreiben, auch wenn die Option register_globals deaktiviert ist. Damit lassen sich beliebige lokal gespeicherte PHP-Skripte einbinden und mit den Rechten des Frontend ausführen.

Um eigenen Code auszuführen, muss ein Angreifer allerdings sein Skript per Upload auf dem Server platzieren. Da die Lücke auch den lesenden Zugriff auf andere Dateien ermöglicht, könnte der Angreifer damit auch das System ausspähen. Dies kommt aber nur bei Systemen zum Tragen, die nicht im PHP-Safe-Mode laufen. Ist dieser Modus aktiv, überprüft PHP, ob der Eigentümer des laufenden Skriptes dem Eigentümer der Datei entspricht und verhindert den Zugriff. Zusätzlich kann unter PHP die Option open_basedir den Zugriff auf Dateien außerhalb der erlaubten Pfade beschränken.

Außerdem stopft die neue Version von phpMyAdmin Cross-Site-Scripting-Lücken in den Modulen left.php, queryframe.php und server_databases.php.

Siehe dazu auch:

    * Security Announcement PMASA-2005-5 zu phpMyAdmin


Quelle und Links : http://www.heise.de/newsticker/meldung/65322

[SiLæncer]

Die Entwickler des freien Web-basierten Administrationswerkzeugs für MySQL-Datenbanken phpMyAdmin haben eine neue Version 2.7.0-pl1 herausgegeben. In dieser wurde ein kritischer Fehler im Schutzmechanismus für $GLOBALS-Variablen behoben, der sich nach Einschätzung des Entdeckers Stefan Esser von einem Angreifer übers Netz für Cross-Site-Scripting (XSS) und unter Umständen zur Ausführung von beliebigem PHP-Code ausnutzen lässt.

Laut Esser ist ausschließlich die neue 2.7er Serie von der Sicherheitslücke betroffen. In dieser sei die Variable $import_blacklist, die eine Liste zu schützender globaler Variablen enthält, nun selbst global deklariert worden. Dabei sei jedoch unglücklicherweise vergessen worden, diese Variable selbst vor dem Überschreiben zu schützen, wodurch sich der gesamte Schutzmechanismus von phpMyAdmin gegen das Überschreiben globaler Variablen aushebeln ließe.

Die offizielle Veröffentlichung der neuen 2.7er Serie erfolgte erst vergangene Woche. Die meisten Linux-Distributionen setzen daher bisher noch auf die stabile 2.6er Serie. Der Übergang zu 2.7 dürfte dann gleich mit der gefixten Version erfolgen.

Siehe dazu auch:

    * phpMyAdmin Variables Overwrite Vulnerability, Advisory von Stefan Esser

Quelle und Links : http://www.heise.de/newsticker/meldung/67080

[SiLæncer]

Die Datenbankverwaltung phpMyAdmin hat ein sicherheitsrelevantes Update spendiert bekommen. Die neuen Versionen sind 2.11.9.6 und 3.2.2.1. Laut einem Advisory der Entwickler enthalten die Vorgängerversionen zwei Programmierfehler, die Cross Site Scripting (XSS) sowie das Injizieren beliebiger SQL-Befehle erlauben.

Das XSS ermöglicht es Angreifern, mit Hilfe manipulierter Tabellennamen beliebigen JavaScript-Code in die phpMyAdmin-Seiten der Opfer einzubetten, wenn diese auf manipulierte Links klicken. Die SQL-Injektion entsteht durch einen Fehler bei der Auswertung von Parametern für den PDF-Export, den in der Regel nur authentifizierten Nutzer anstoßen können. Das Entwickler-Team hält die Schwachstellen für gefährlich und rät zum Upgrade.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler der Datenbankverwaltung phpMyAdmin haben die Versionen 3.3.5.1 and 2.11.10.1 veröffentlicht. Im 2.x-Zweig hat bisher ein kritischer Bug im Setup-Script dafür gesorgt, dass Angreifer mittels manipulierter POST-Anfragen unter Umständen beliebige PHP-Befehle ausführen konnten. In beiden Versionszweigen haben die Entwickler zudem einige Lücken geschlossen, die man für Cross Site Scripting (XSS) ausnutzen konnte. Die beiden neuen Versionen stehen ab sofort zum Download bereit.

Quelle : www.heise.de

[SiLæncer]

Unbekannten gelang es, über einen offiziellen Downloadserver von SourceForge eine manipulierte Version des Datenbankverwaltungstools phpMyAdmin zu verteilten, die eine Backdoor enthält. Die Hintertür befand sich in dem Installationsarchiv phpMyAdmin-3.5.2.2-all-languages.zip, das ungefähr seit dem 22. September über den koreanischen Server cdnetworks-kr-1 verteilt wurde.

Der ganze Artikel

Quelle : www.heise.de