Gefährlich: PHP-Datenbank-Administrationsprogramm unsicher

Big DataData & StorageSicherheitSicherheitsmanagementSoftware

Das grafische Web-Frontend PHPmyAdmin lässt sich beliebigen Code unterjubeln. So können Profis schnell eigenen PHP-Code in Server schleusen.

Das wachsame Adlerauge Nasir Simbolon fand eine Lücke im OpenSource-Datenbank-Tool PHPmyAdmin, welches auf zahlreichen Webservern installiert ist und oftmals wichtige Datenbestände verwaltet.

Das Programm zur Steuerung von SQL-Datenbanken ist nur für Profis zu knacken, die auch Administrationsrechte zum Server ergattert haben. Denn um den eingeschleusten Code zur Ausführung zu bringen, muss die Konfigurationsdatei verändert werden. Wer aber über einen weiteren Bug Bescheid weiß, kann das System überlisten.

Der Autor des Security-Advisories hat in seiner Warnung Demo-Exploits für beide Lecks gelistet. Wer das myAdmin-Tool auf Version 2.5.7pl1 updatet, ist sicher. (mk)

Weitere Infos:

PHPMyAdmin-Advisory


OpenSource-Update von PHPmyAdmin


PHPmyAdmin Homepage

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen