Update für phpMyAdmin [Update]

Die Entwickler des verbreiteten MySQL-Administrationswerkzeugs phpMyAdmin haben in der Version 2.11.5 eine Schwachstelle geschlossen, über die laut Bericht SQL-Injection möglich gewesen sein soll. Die Beschreibung des Fehlers ist allerdings nicht ganz eindeutig: Weil phpMyAdmin zum Auslesen der Parameterliste statt $_GET oder $_POST das Variablen-Array $_REQUEST benutzt, kann es passieren, dass bei bestimmten Servern die Cookies des Anwenders durcheinander geraten. Dies sollen Angreifer für ihre Zwecke ausnutzen können, in dem sie auf einer Seite auf dem gleichen Server Besuchern bestimmte Cookies unterschieben.

Wie das aber mit einer SQL-Injection-Lücke in Verbindung steht, lässt der Bericht offen, zudem dient das Tool ja eigentlich dem Zugriff auf die Datenbank. Im Changelog wird nur darauf hingewiesen, dass sich damit die "Koexistenz mit anderen Anwendungen (...auf einem Server)" verbessere. Trotzdem stufen die Entwickler den Fehler als ernsthaftes Sicherheitsproblem ein. Alternativ zum Update steht auch ein Patch bereit, der verhindert, dass Cookies im $_REQUEST-Array enthalten sind.

Neben der Schwachstelle haben die Entwickler auch diverse andere Fehler behoben.

Update
Die Entwickler haben ihren Fehlerbericht aktualisiert und weitere Details zur Lücke veröffentlicht. Offenbar kann eine andere Anwendung über ein Cookie für den Wurzelpfad einen "sql_query"-Name setzen und somit die SQL-Anfrage des Anwenders überschreiben.

Siehe dazu auch:

• SQL injection vulnerability, Fehlerbericht auf phpMyAdmin

(dab)