Wieder Lücken in phpMyAdmin
Durch die Übergabe bestimmter Parameter an einige Skripte kann ein Angreifer die Konfiguration zur Laufzeit überschreiben, um beliebige lokal gespeicherte PHP-Skripte einzubinden und auszuführen.
Anwender des Datenbank-Frontends phpMyAdmin sollten die aktuelle Version 2.6.4-pl3 installieren, um zwei Sicherheitslücken zu schließen. Erst kürzlich wurde eine andere Sicherheitslücke geschlossen, mit der sich Dateien auslesen ließen.
Durch die nun neu geschlossene Lücke kann ein Angreifer durch die Übergabe bestimmter Parameter an einige Skripte die Konfiguration von phpMyAdmin zur Laufzeit überschreiben, auch wenn die Option register_globals deaktiviert ist. Damit lassen sich beliebige lokal gespeicherte PHP-Skripte einbinden und mit den Rechten des Frontend ausführen.
Um eigenen Code auszuführen, muss ein Angreifer allerdings sein Skript per Upload auf dem Server platzieren. Da die Lücke auch den lesenden Zugriff auf andere Dateien ermöglicht, könnte der Angreifer damit auch das System ausspähen. Dies kommt aber nur bei Systemen zum Tragen, die nicht im PHP-Safe-Mode laufen. Ist dieser Modus aktiv, überprüft PHP, ob der Eigentümer des laufenden Skriptes dem Eigentümer der Datei entspricht und verhindert den Zugriff. Zusätzlich kann unter PHP die Option open_basedir den Zugriff auf Dateien außerhalb der erlaubten Pfade beschränken.
Außerdem stopft die neue Version von phpMyAdmin Cross-Site-Scripting-Lücken in den Modulen left.php, queryframe.php und server_databases.php.
Siehe dazu auch: (dab)
- Security Announcement PMASA-2005-5 zu phpMyAdmin
