MySQL-Frontend: Lücke in PhpMyAdmin erlaubt Datendiebstahl

Eine Sicherheitslücke im MySQL-Frontend PhpMyAdmin erlaubt es, lokale Dateien auszulesen. Dafür benötigt man jedoch einen bereits existierenden Login.

Artikel veröffentlicht am , Hanno Böck
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben.
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben. (Bild: PhpMyAdmin)

Die Entwickler von PhpMyAdmin haben mehrere Sicherheitslücken geschlossen, darunter eine, die als schwerwiegend eingestuft wird. Sie erlaubt es Nutzern, Dateien aus dem lokalen Dateisystem auszulesen. PhpMyAdmin ist ein in PHP geschriebenes Frontend für MySQL-Datenbanken.

Stellenmarkt
  1. Informatiker*in, Informationstechniker*in, Elektrotechniker*in mit Masterabschluss o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  2. Senior Security Consultant (m/w/d)
    NTT Germany AG & Co. KG, Bad Homburg
Detailsuche

Laut der Meldung muss ein Angreifer Zugriff auf eine lokale, spezielle Konfigurationstabelle für PhpMyAdmin haben, diese kann er sich jedoch selbst anlegen, wenn er auf eine beliebige Datenbank Schreibzugriff hat. Somit ist diese Sicherheitslücke ausnutzbar, wenn der Angreifer Zugangsdaten besitzt, die ihm den Zugriff auf eine beliebige Datenbank erlauben.

Für Webhoster besonders gefährlich

Relevant ist die Lücke damit in erster Linie für Systeme, bei denen mehrere potentiell nicht vertrauenswürdige Nutzer mittels PhpMyAdmin auf Datenbanken zugreifen können. Das ist beispielsweise häufig bei Webhostern der Fall. Welche Daten damit ausgelesen werden können, hängt von der jeweiligen Konfiguration ab und davon, mit welchen Rechten die jeweilige PhpMyAdmin-Installation läuft.

Zwei weitere, als weniger kritisch eingestufte Sicherheitslücken wurden ebenfalls behoben: Eine Cross-Site-Request-Forgery-Lücke kann dazu ausgenutzt werden, von fremden Webseiten aus bestimmte Datenbank-Operationen durchzuführen. Eine Cross-Site-Scripting-Lücke erlaubt es, mittels der Namen von Tabellen oder Datenbanken Javascript-Code bei anderen Nutzern auszuführen. Die Entwickler von PhpMyAdmin haben mit der heute veröffentlichten Version 4.8.4 alle drei Sicherheitslücken geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /