[HaBo]

ste · 16.12.04, 09:27

In phpMyAdmin -- einem grafischen Web-Frontend zur Administration von MySQL-Datenbanken -- wurde eine Schwachstelle aufgedeckt, mit der Angreifer beliebige Befehle auf dem Server ausführen können. Schuld ist wieder das MIME-basierte Transformationssystem, in dem bereits im vergangenen Oktober eine Sicherheitslücke Angreifern das Absetzen von Befehlen ermöglichte. Der nun gefundene Fehler hat nach Angaben des Sicherheitsdienstleisters Exaprobe seinen Weg in die Software mit dem damaligen Patch (2.6.0-pl2) gefunden.

Auch diesmal müssen der PHP Safe Mode deaktiviert und externe Transformationen aktiviert sein, damit der Fehler zum Tragen kommt. Exaprobe hat in seinem Advisory ein Beispiel zum Ausnutzen der Lücke aufgeführt. Durch eine Schwachstelle in der UploadDir-Funktion lässt sich zudem der Inhalt von Dateien auf dem System anzeigen. Hier sind alle Version seit 2.4.0 betroffen. Die Entwickler haben beide Fehler in 2.6.1-rc1 beseitigt und empfehlen dringend den Wechsel auf 2.6.1, sobald die Release herausgegeben wird. Bis dahin sollten Anwender den PHP Safe Mode aktivieren oder externe Transformationen und UploadDir abschalten.

Quelle

Anzeige

- Anzeige -

16.12.04, 09:27	#1 (permalink)
ste Registriert seit: 29.11.04 Likes: 0	Upload Sicherheitslücke in phpMyAdmin ermöglicht Ausführen von Befehlen Anzeige In phpMyAdmin -- einem grafischen Web-Frontend zur Administration von MySQL-Datenbanken -- wurde eine Schwachstelle aufgedeckt, mit der Angreifer beliebige Befehle auf dem Server ausführen können. Schuld ist wieder das MIME-basierte Transformationssystem, in dem bereits im vergangenen Oktober eine Sicherheitslücke Angreifern das Absetzen von Befehlen ermöglichte. Der nun gefundene Fehler hat nach Angaben des Sicherheitsdienstleisters Exaprobe seinen Weg in die Software mit dem damaligen Patch (2.6.0-pl2) gefunden. Auch diesmal müssen der PHP Safe Mode deaktiviert und externe Transformationen aktiviert sein, damit der Fehler zum Tragen kommt. Exaprobe hat in seinem Advisory ein Beispiel zum Ausnutzen der Lücke aufgeführt. Durch eine Schwachstelle in der UploadDir-Funktion lässt sich zudem der Inhalt von Dateien auf dem System anzeigen. Hier sind alle Version seit 2.4.0 betroffen. Die Entwickler haben beide Fehler in 2.6.1-rc1 beseitigt und empfehlen dringend den Wechsel auf 2.6.1, sobald die Release herausgegeben wird. Bis dahin sollten Anwender den PHP Safe Mode aktivieren oder externe Transformationen und UploadDir abschalten. Quelle

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Batchprobleme mit Befehlen (autostart etc)	TeeKayo2	Code Kitchen	2	08.03.06 10:49
[Linux] Fehler im 2.6er ermöglicht DoS aus der Ferne	beko	News & Ankündigungen	6	06.07.04 18:50
Frage zu Rundll32 Befehlen	Fusion	Windows	1	18.05.03 00:08
ASM: Liste mit Befehlen und Clocks	niedriger noob	Code Kitchen	4	28.09.02 17:27
RDP von Windows ermöglicht Datenausspähung	Tec	News & Ankündigungen	0	21.09.02 13:22

[HaBo]

Upload Sicherheitslücke in phpMyAdmin ermöglicht Ausführen von Befehlen