Eine bereits gemeldete und veröffentlichte Schwachstelle zur Manipulation der Sessions wird nun scheinbar aktiv ausgenutzt.
Wer also noch nicht upgedatet hat sollte es tun oder zumindest selbst ständig die Änderung (wie in dem 2. Link beschrieben) vornehmen.
Bugreport:
http://www.cve.mitre.org/cgi-bin/cvenam ... -2011-2505
Informationen:
http://blog.spiderlabs.com/2012/01/hone ... ected.html
Der Grund ist eine Funktion, welche zwar 2 Parameter akzeptieren kann, der aber nur einer übergeben wird.
"parse_str($_SERVER['QUERY_STRING']);"
phpMyAdmin 3.x angreifbar!
Eine super phpMyAdmin alternative ist Adminer. (Früher: phpMinAdmin)
http://www.adminer.org/de/
http://www.adminer.org/de/phpmyadmin/
http://www.adminer.org/de/
Hier eine Auflistung der Vorteile bzw. des Vorsprungs zu phpMyAdmin:Replace phpMyAdmin by Adminer and you will get tidier user interface, better support for MySQL features, higher performance and more security.
http://www.adminer.org/de/phpmyadmin/
Passt gerade zu meiner "Entdeckung": STRATO lässt seine Kunden mit der phpMyAdmin 2.6.4-pl3 Version arbeiten und behauptet doch wirklich auf der HP (Stand 18.01.2012):
Eventuell auftretende Sicherheitsrisiken oder bekannte Bugs in phpMyAdmin werden von uns selbstverständlich sofort entfernt. Updates oder Versionsänderungen werden voraussichtlich einmal im Jahr durchgeführt.