: Veröffentlicht: 17. September 2008

phpMyAdmin mit schwerer Sicherheitslücke

phplogo Das kommt selten vor, aber jetzt hat es auch das MySQL-Frontend phpMyAdmin erwischt.

phpMyAdmin hat kritische Lücke

Entdeckt hat die Schwachstelle Norman Hippert. Er beschreibt auf seiner Internetseite eine schwerwiegende Sicherheitslücke in phpMyAdmin.

Das Problem geht von der Datei server_databases.php aus, die einen Fehler enthält. Zwar benötigt ein Angreifer erst mal Zugang zu phpMyAdmin, aber dennoch handelt es sich um ein nicht zu unterschätzendes Problem vor allem für Shared-Hosting und ähnlichem.

Wenn die PHP-Konfiguration exec-Kommandos zulässt, kann der Angreifer also Shellkommandos ausführen und das kann dann gefährlich werden.

Natürlich haben die Entwickler sofort eine neue Version mit der Nummer 2.11.9.1 aufgelegt. Alles davor ist unsicher. Auch der Release Candidate 1 der Version 3.0.0 ist betroffen. Bleibt nur zu hoffen, dass auch alle Provider bzw. Administratoren schnell reagieren. Aber davon sollte man eigentlich ausgehen können.

Weitere Informationen gibt es hier.

Nicht nur alle Admins bekommen die neueste sichere Version von phpMyAdmin hier.