Abo
  • Services:

MySQL-Frontend: Lücke in PhpMyAdmin erlaubt Datendiebstahl

Eine Sicherheitslücke im MySQL-Frontend PhpMyAdmin erlaubt es, lokale Dateien auszulesen. Dafür benötigt man jedoch einen bereits existierenden Login.

Artikel veröffentlicht am , Hanno Böck
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben.
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben. (Bild: PhpMyAdmin)

Die Entwickler von PhpMyAdmin haben mehrere Sicherheitslücken geschlossen, darunter eine, die als schwerwiegend eingestuft wird. Sie erlaubt es Nutzern, Dateien aus dem lokalen Dateisystem auszulesen. PhpMyAdmin ist ein in PHP geschriebenes Frontend für MySQL-Datenbanken.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden
  2. DEKRA SE, Stuttgart

Laut der Meldung muss ein Angreifer Zugriff auf eine lokale, spezielle Konfigurationstabelle für PhpMyAdmin haben, diese kann er sich jedoch selbst anlegen, wenn er auf eine beliebige Datenbank Schreibzugriff hat. Somit ist diese Sicherheitslücke ausnutzbar, wenn der Angreifer Zugangsdaten besitzt, die ihm den Zugriff auf eine beliebige Datenbank erlauben.

Für Webhoster besonders gefährlich

Relevant ist die Lücke damit in erster Linie für Systeme, bei denen mehrere potentiell nicht vertrauenswürdige Nutzer mittels PhpMyAdmin auf Datenbanken zugreifen können. Das ist beispielsweise häufig bei Webhostern der Fall. Welche Daten damit ausgelesen werden können, hängt von der jeweiligen Konfiguration ab und davon, mit welchen Rechten die jeweilige PhpMyAdmin-Installation läuft.

Zwei weitere, als weniger kritisch eingestufte Sicherheitslücken wurden ebenfalls behoben: Eine Cross-Site-Request-Forgery-Lücke kann dazu ausgenutzt werden, von fremden Webseiten aus bestimmte Datenbank-Operationen durchzuführen. Eine Cross-Site-Scripting-Lücke erlaubt es, mittels der Namen von Tabellen oder Datenbanken Javascript-Code bei anderen Nutzern auszuführen. Die Entwickler von PhpMyAdmin haben mit der heute veröffentlichten Version 4.8.4 alle drei Sicherheitslücken geschlossen.



Anzeige
Spiele-Angebote
  1. 18,49€
  2. 32,95€
  3. 2,49€
  4. 24,99€

Ninos 13. Dez 2018

Ajajaj, danke für den Link! :-)


Folgen Sie uns
       


Samsung Galaxy S10 Plus - Test

Das Galaxy S10+ ist Samsungs neues, großes Top-Smartphone. Im Test haben wir uns besonders die neue Dreifachkamera angeschaut.

Samsung Galaxy S10 Plus - Test Video aufrufen
Sechs Airpods-Konkurrenten im Test: Apple hat nicht die Längsten
Sechs Airpods-Konkurrenten im Test
Apple hat nicht die Längsten

Nach dem Klangsieger und dem Bedienungssieger haben wir im dritten Test den kabellosen Bluetooth-Hörstöpsel mit der weitaus besten Akkulaufzeit gefunden. Etwas war aber wieder nicht dabei: die perfekten True Wireless In-Ears.
Ein Test von Ingo Pakalski


    Galaxy S10+ im Test: Top und teuer
    Galaxy S10+ im Test
    Top und teuer

    Mit dem Galaxy S10+ bringt Samsung erstmals eine Dreifachkamera in eines seiner Top-Smartphones. Die Entwicklung, die mit dem Galaxy A7 begann, hat sich gelohnt: Das Galaxy S10+ macht sehr gute Bilder, beim Preis müssen wir aber schlucken.
    Ein Test von Tobias Költzsch

    1. Samsung Gesichtsentsperrung des Galaxy S10 lässt sich austricksen
    2. Samsung Galaxy S10 Europäer erhalten weiter langsameren Prozessor
    3. Galaxy S10 im Hands on Samsung bringt vier neue Galaxy-S10-Modelle

    Trüberbrook im Test: Provinzielles Abenteuer
    Trüberbrook im Test
    Provinzielles Abenteuer

    Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
    Von Peter Steinlechner

    1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
    2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
    3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

      •  /