• IT-Karriere:
  • Services:

MySQL-Frontend: Lücke in PhpMyAdmin erlaubt Datendiebstahl

Eine Sicherheitslücke im MySQL-Frontend PhpMyAdmin erlaubt es, lokale Dateien auszulesen. Dafür benötigt man jedoch einen bereits existierenden Login.

Artikel veröffentlicht am , Hanno Böck
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben.
Schnell updaten: Mehrere Sicherheitsprobleme in PhpMyAdmin wurden behoben. (Bild: PhpMyAdmin)

Die Entwickler von PhpMyAdmin haben mehrere Sicherheitslücken geschlossen, darunter eine, die als schwerwiegend eingestuft wird. Sie erlaubt es Nutzern, Dateien aus dem lokalen Dateisystem auszulesen. PhpMyAdmin ist ein in PHP geschriebenes Frontend für MySQL-Datenbanken.

Stellenmarkt
  1. Deutsche Bahn AG, Berlin
  2. KfW Bankengruppe, Frankfurt am Main

Laut der Meldung muss ein Angreifer Zugriff auf eine lokale, spezielle Konfigurationstabelle für PhpMyAdmin haben, diese kann er sich jedoch selbst anlegen, wenn er auf eine beliebige Datenbank Schreibzugriff hat. Somit ist diese Sicherheitslücke ausnutzbar, wenn der Angreifer Zugangsdaten besitzt, die ihm den Zugriff auf eine beliebige Datenbank erlauben.

Für Webhoster besonders gefährlich

Relevant ist die Lücke damit in erster Linie für Systeme, bei denen mehrere potentiell nicht vertrauenswürdige Nutzer mittels PhpMyAdmin auf Datenbanken zugreifen können. Das ist beispielsweise häufig bei Webhostern der Fall. Welche Daten damit ausgelesen werden können, hängt von der jeweiligen Konfiguration ab und davon, mit welchen Rechten die jeweilige PhpMyAdmin-Installation läuft.

Zwei weitere, als weniger kritisch eingestufte Sicherheitslücken wurden ebenfalls behoben: Eine Cross-Site-Request-Forgery-Lücke kann dazu ausgenutzt werden, von fremden Webseiten aus bestimmte Datenbank-Operationen durchzuführen. Eine Cross-Site-Scripting-Lücke erlaubt es, mittels der Namen von Tabellen oder Datenbanken Javascript-Code bei anderen Nutzern auszuführen. Die Entwickler von PhpMyAdmin haben mit der heute veröffentlichten Version 4.8.4 alle drei Sicherheitslücken geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 349,00€
  2. (u. a. Transport Fever 2 für 22,99€, Project CARS 2 Delux für 15,99€)
  3. (u. a. PS4 Pro Naughty Dog Bundle für 399,99€, PS4 VR Megapack Ed. 2 für 279,99€, Death...
  4. (Samsung Galaxy A51 128 GB für 299,00€)

Ninos 13. Dez 2018

Ajajaj, danke für den Link! :-)


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Indiegames-Rundschau: Einmal durchspielen in 400 Tagen
Indiegames-Rundschau
Einmal durchspielen in 400 Tagen

Im Indiegame The Longing warten wir 400 Tage in Echtzeit, in Broken Lines kämpfen wir im Zweiten Weltkrieg und Avorion schickt uns ins Universum.
Von Rainer Sigl

  1. A Maze Berliner Indiegames-Festival sucht Unterstützer
  2. Spielebranche Überleben in der Indiepocalypse
  3. Ancestors im Test Die Evolution als Affenzirkus

Coronakrise: IT-Freelancer müssen als Erste gehen
Coronakrise
IT-Freelancer müssen als Erste gehen

Die Pandemie schlägt bei vielen IT-Freiberuflern schneller zu als bei Festangestellten. Schon die Hälfte aller Projekte sind gecancelt. Überraschung: Bei der anderen Hälfte läuft es weiter wie bisher. Wie das?
Ein Bericht von Peter Ilg

  1. Corona Lidl Connect setzt Drosselung herauf
  2. Coronakrise SPD-Chefin warnt vor Panik durch ungenaues Handytracking
  3. Buglas Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Star Trek - Picard: Hasenpizza mit Jean-Luc
Star Trek - Picard
Hasenpizza mit Jean-Luc

Star Trek: Picard hat im Vorfeld viele Erwartungen geweckt, die nach einem etwas holprigem Start erfüllt wurden. Die neue Serie macht Spaß.
Achtung! Spoiler!
Eine Rezension von Tobias Költzsch

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Der Film Immer Ärger mit Roddenberry
  3. Star Trek Voyager Starke Frauen und schwache Gegner

    •  /