phpMyAdmin erhält wichtige Sicherheitspatches

Zwei Schwachstellen im Datenbankverwaltungstool werden mit den Updates abgehakt. Das phpMyAdmin-Entwicklerteam stellt die Sicherheitsupdates 3.3.5.1 und 2.11.10.1 zur Verfügung. Die Aktualisierungen adressieren zwei Lücken, von denen eine für Cross-Site-Scripting-Angriffe (XSS) mit Hilfe von manipulierten URLs oder POST-Parametern ausgenutzt werden kann. Die betroffenen Versionen 3.x und 2.11.x erhalten einen Patch, der Angreifern diese Möglichkeit zunichte macht.

Von der zweiten Sicherheitslücke ist nur die ältere Version 2.11.x betroffen. Mit einem angepassten POST-Request kann die Setup-Routine von phpMyAdmin dazu gebracht werden, beliebigen PHP-Code in das erzeugte Konfigurations-File zu integrieren. Durch die Möglichkeit, Dateien auf dem Server zu speichern, kann diese Schwachstelle von unbefugten Usern zum Ausführen beliebigen PHP-Codes missbraucht werden. Die XSS-Lücke wird als ernst, die andere als kritisch eingestuft. Anwender sollten das jeweilige Patch für ihre im Einsatz befindliche phpMyAdmin-Installation bald einspielen. (ph/phpj) phpMyAdmin