phpMyAdmin 3.x angreifbar!

( Neues und interessantes, das Internet betreffend )
Antworten
Ricko
Beiträge: 264
Registriert: 15.01.2008, 21:34

Beitrag von Ricko »

Eine bereits gemeldete und veröffentlichte Schwachstelle zur Manipulation der Sessions wird nun scheinbar aktiv ausgenutzt.

Wer also noch nicht upgedatet hat sollte es tun oder zumindest selbst ständig die Änderung (wie in dem 2. Link beschrieben) vornehmen.

Bugreport:
http://www.cve.mitre.org/cgi-bin/cvenam ... -2011-2505

Informationen:

http://blog.spiderlabs.com/2012/01/hone ... ected.html


Der Grund ist eine Funktion, welche zwar 2 Parameter akzeptieren kann, der aber nur einer übergeben wird.

"parse_str($_SERVER['QUERY_STRING']);"
Ricko
Beiträge: 264
Registriert: 15.01.2008, 21:34

Beitrag von Ricko »

Eine super phpMyAdmin alternative ist Adminer. (Früher: phpMinAdmin)

http://www.adminer.org/de/

Replace phpMyAdmin by Adminer and you will get tidier user interface, better support for MySQL features, higher performance and more security.
Hier eine Auflistung der Vorteile bzw. des Vorsprungs zu phpMyAdmin:

http://www.adminer.org/de/phpmyadmin/
AranankA
Beiträge: 1558
Registriert: 11.09.2006, 10:12

Beitrag von AranankA »

Passt gerade zu meiner "Entdeckung": STRATO lässt seine Kunden mit der phpMyAdmin 2.6.4-pl3 Version arbeiten und behauptet doch wirklich auf der HP (Stand 18.01.2012):
Eventuell auftretende Sicherheitsrisiken oder bekannte Bugs in phpMyAdmin werden von uns selbstverständlich sofort entfernt. Updates oder Versionsänderungen werden voraussichtlich einmal im Jahr durchgeführt.
Benutzeravatar
Lighty
Beiträge: 8397
Registriert: 24.08.2006, 02:28

Beitrag von Lighty »

Hallo Ricko !

... tja, darauf habe ich keinen Einfluss, denke aber darauf wird all-inkl schon achten !? ;)
Danke für die Info !
LG, Lighty
Antworten

Zurück zu „News und Informationen ( INTERNET & NETZWERK )“