zurück zum Artikel

Die Vorgängerversionen ermöglichen Angreifern unter Umständen Cross Site Scripting und das Absetzen beliebiger SQL-Befehle.

Die Datenbankverwaltung phpMyAdmin [1] hat ein sicherheitsrelevantes Update spendiert bekommen. Die neuen Versionen sind 2.11.9.6 und 3.2.2.1. Laut einem Advisory [2] der Entwickler enthalten die Vorgängerversionen zwei Programmierfehler, die Cross Site Scripting (XSS) sowie das Injizieren beliebiger SQL-Befehle erlauben.

Das XSS ermöglicht es Angreifern, mit Hilfe manipulierter Tabellennamen beliebigen JavaScript-Code in die phpMyAdmin-Seiten der Opfer einzubetten, wenn diese auf manipulierte Links klicken. Die SQL-Injektion entsteht durch einen Fehler bei der Auswertung von Parametern für den PDF-Export, den in der Regel nur authentifizierten Nutzer anstoßen können. Das Entwickler-Team hält die Schwachstellen für gefährlich und rät zum Upgrade.

Siehe dazu auch:

• phpMyAdmin [3] im heise Software-Verzeichnis

(cr [4])

URL dieses Artikels:
https://www.heise.de/-830877

Links in diesem Artikel:
[1] http://www.phpmyadmin.net/
[2] http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php
[3] http://www.heise.de/software/download/phpmyadmin/28904
[4] mailto:cr@ct.de

Copyright © 2009 Heise Medien