Abo
  • Services:

MySQL-Frontend: Lücke in PhpMyAdmin erlaubt Datendiebstahl

Eine Sicherheitslücke im MySQL-Frontend PhpMyAdmin erlaubt es, lokale Dateien auszulesen. Dafür benötigt man jedoch einen bereits existierenden Login.

Artikel veröffentlicht am , Hanno Böck
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben.
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben. (Bild: PhpMyAdmin)

Die Entwickler von PhpMyAdmin haben mehrere Sicherheitslücken geschlossen, darunter eine, die als schwerwiegend eingestuft wird. Sie erlaubt es Nutzern, Dateien aus dem lokalen Dateisystem auszulesen. PhpMyAdmin ist ein in PHP geschriebenes Frontend für MySQL-Datenbanken.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Laut der Meldung muss ein Angreifer Zugriff auf eine lokale, spezielle Konfigurationstabelle für PhpMyAdmin haben, diese kann er sich jedoch selbst anlegen, wenn er auf eine beliebige Datenbank Schreibzugriff hat. Somit ist diese Sicherheitslücke ausnutzbar, wenn der Angreifer Zugangsdaten besitzt, die ihm den Zugriff auf eine beliebige Datenbank erlauben.

Für Webhoster besonders gefährlich

Relevant ist die Lücke damit in erster Linie für Systeme, bei denen mehrere potentiell nicht vertrauenswürdige Nutzer mittels PhpMyAdmin auf Datenbanken zugreifen können. Das ist beispielsweise häufig bei Webhostern der Fall. Welche Daten damit ausgelesen werden können, hängt von der jeweiligen Konfiguration ab und davon, mit welchen Rechten die jeweilige PhpMyAdmin-Installation läuft.

Zwei weitere, als weniger kritisch eingestufte Sicherheitslücken wurden ebenfalls behoben: Eine Cross-Site-Request-Forgery-Lücke kann dazu ausgenutzt werden, von fremden Webseiten aus bestimmte Datenbank-Operationen durchzuführen. Eine Cross-Site-Scripting-Lücke erlaubt es, mittels der Namen von Tabellen oder Datenbanken Javascript-Code bei anderen Nutzern auszuführen. Die Entwickler von PhpMyAdmin haben mit der heute veröffentlichten Version 4.8.4 alle drei Sicherheitslücken geschlossen.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Ninos 13. Dez 2018 / Themenstart

Ajajaj, danke für den Link! :-)

Kommentieren


Folgen Sie uns
       


Alienware Area-51m angesehen (CES 2019)

Das Area-51m von Dells Gaming-Marke Alienware ist ein stark ausgestattetes Spielenotebook. Das Design hat Dell überarbeitet und es geschafft, an noch mehr Stellen RGB-Beleuchtung einzubauen.

Alienware Area-51m angesehen (CES 2019) Video aufrufen
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

    •  /