Alert!

Schwachstelle in phpMyAdmin [Update]

Angreifer mit MySQL-Zugang können unter Umständen dem Webserver aufgrund der Sicherheitslücke übers Netz beliebige Shell-Befehle erteilen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 127 Beiträge
Von

In der neuen Version 2.11.9.1 des weit verbreiteten MySQL-Frontends phpMyAdmin haben die Entwickler eine schwerwiegende Sicherheitslücke geschlossen. Laut Advisory der Programmierer können Nutzer mit einem gültigen MySQL-Zugang das PHP-Programm über den Parameter sort_by dazu bringen, beliebige Shell-Kommandos an den Webserver durchzureichen. Voraussetzung dafür sei jedoch, dass die PHP-Umgebung das exec()-Kommando zulasse.

Der Programmierfehler befindet sich in der Datei server_databases.php und soll alle Versionen vor 2.11.9.1 betreffen. Laut Norman Hippert, dem Entdecker der Lücke, ist auch die Vorschauversion 3.0.0 RC1 betroffen.

Die phpMyAdmin-Entwickler bezeichnen die Schwachstelle als "ernst" und raten allen Admins zum Upgrade. Auch das vorläufige Setzen der php.ini-Option disable_functions=exec bietet – je nach Konfiguration des Webserver erst nach dessen Neustart – wirksamen Schutz, kann in seltenen Fällen aber anderen PHP-Programmen Probleme bereiten.

Update
Offenbar eignet sich die Schwachstelle zum Einschleusen von beliebigem PHP-Code. Demzufolge ist auch der Workaround hinfällig, da sich per disable_functions lediglich die Ausweitung auf beliebige Shell-Befehle verhindern ließe. Ein unverzügliches Update ist daher zur Sicherung unumgänglich.

Siehe dazu auch:

(cr)