DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2321: phpMyAdmin: Eine Schwachstelle ermöglicht Cross-Site-Request-Forgery

Historie

Version 1 (2017-12-27 11:51)
Neues Advisory
Version 2 (2018-01-02 10:23)
Für SUSE Package Hub for SUSE Linux Enterprise 12 sowie für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates auf phpMyAdmin 4.7.7 zur Verfügung.

Betroffene Software

phpMyAdmin < 4.7.7

Betroffene Plattformen

SUSE Package Hub for SUSE Linux Enterprise 12
GNU/Linux
openSUSE Leap 42.2
openSUSE Leap 42.3
Red Hat Fedora 26
Red Hat Fedora 27

Lösung

Patch

Fedora Security Update FEDORA-2017-481515e199 (Fedora 26, phpMyAdmin-4.7.7-1.fc26)

Patch

Fedora Security Update FEDORA-2017-cad79c7c6c (Fedora 27, phpMyAdmin-4.7.7-1.fc27)

Patch

phpMyAdmin Security Advisory PMASA-2017-9

Patch

openSUSE Security Update openSUSE-SU-2017:3448-1

Patch

openSUSE Security Update openSUSE-SU-2017:3451-1

Beschreibung

Eine Schwachstelle in phpMyAdmin ermöglicht es einem entfernten, nicht authentisierten Angreifer, einen Cross-Site-Request-Forgery (XSRF/CSRF)-Angriff durchzuführen und dadurch beliebige Datenbankoperationen zur Ausführung zu bringen.

Das phpMyAdmin-Projekt stellt die Version 4.7.7 als Sicherheitsupdate zum Herunterladen zur Verfügung.

Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'phpMyAdmin-4.7.7-1.fc26' und 'phpMyAdmin-4.7.7-1.fc27' im Status 'testing' zur Verfügung.

Schwachstellen

PMASA-2017-9: Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Request-Forgery-Angriff

In phpMyAdmin werden unter Umständen SQL-Anfragen über HTTP-GET-Anforderungen akzeptiert.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.