Kritische Lücken in phpMyAdmin

Mit den Updates auf Version 3.4.3.2 und 3.3.10.3 schließen die phpMyAdmin-Entwickler insgesamt vier Lücken in ihrer beliebten Datenbankoberfläche, darunter zwei kritische. So wird ein Parameter in älteren Versionen nicht ausreichend geprüft, wodurch eingeloggte Benutzer Systemdateien des Servers abrufen (Local File Inclusion) und beliebige Befehle ausführen können. Auch über manipulierte MIME-Parameter können Angreifer unter Umständen an Systemdateien des Servers gelangen. Anwender sollten das Update daher umgehend installieren oder zumindest die angebotenen Patches einspielen. Der Versionszweig 2.11.x wird nicht länger von den Entwicklern gepflegt. Zumindest von einer der Lücken ist die alte Version nicht betroffen. Ob das auch auf die anderen Lücken zutrifft, ist derzeit unklar. (rei)