Schwachstelle in phpMyAdmin [Update]
Angreifer mit MySQL-Zugang können unter Umständen dem Webserver aufgrund der Sicherheitslücke übers Netz beliebige Shell-Befehle erteilen.
- Christiane Rütten
In der neuen Version 2.11.9.1 des weit verbreiteten MySQL-Frontends phpMyAdmin haben die Entwickler eine schwerwiegende Sicherheitslücke geschlossen. Laut Advisory der Programmierer können Nutzer mit einem gültigen MySQL-Zugang das PHP-Programm über den Parameter sort_by dazu bringen, beliebige Shell-Kommandos an den Webserver durchzureichen. Voraussetzung dafür sei jedoch, dass die PHP-Umgebung das exec()-Kommando zulasse.
Der Programmierfehler befindet sich in der Datei server_databases.php und soll alle Versionen vor 2.11.9.1 betreffen. Laut Norman Hippert, dem Entdecker der Lücke, ist auch die Vorschauversion 3.0.0 RC1 betroffen.
Die phpMyAdmin-Entwickler bezeichnen die Schwachstelle als "ernst" und raten allen Admins zum Upgrade. Auch das vorläufige Setzen der php.ini-Option disable_functions=exec bietet – je nach Konfiguration des Webserver erst nach dessen Neustart – wirksamen Schutz, kann in seltenen Fällen aber anderen PHP-Programmen Probleme bereiten.
Update
Offenbar eignet sich die Schwachstelle zum Einschleusen von beliebigem PHP-Code. Demzufolge ist auch der Workaround hinfällig, da sich per disable_functions lediglich die Ausweitung auf beliebige Shell-Befehle verhindern ließe. Ein unverzügliches Update ist daher zur Sicherung unumgänglich.
Siehe dazu auch:
- phpMyAdmin im heise Software-Verzeichnis
(cr)