Kritische Sicherheitslücke in phpMyAdmin

Publiziert am 3. Januar 2018 von Günter Born

Ein Sicherheitsforscher hat in phpMyAdmin eine kritische Sicherheitslücke gefunden, über die Angreifer eine MySQL-Datenbank löschen oder manipulieren können.

Anzeige

Als ich die Schlagzeile las, habe ich erst einmal kräftig geflucht. phpMyAdmin ist die Administrationsoberfläche, mit der ich die MySQL-Datenbanken für meinen Blog gelegentlich warte. Diese Oberfläche ist millionenfach in Benutzung.

phpAdmin

Allerdings ist die Lücke beherrschbar. Die von dem indischen Sicherheitsforscher Ashutosh Barot entdeckte Sicherheitslücke ermöglicht einen Cross-Site Request Forgery (CSRF)-Angriff und betrifft phpMyAdmin-Versionen 4.7.x (vor 4.7.7).

Die standortübergreifende Anfragesicherheitslücke, auch bekannt als XSRF, ist ein Angriff, bei dem ein Angreifer einen authentifizierten Benutzer dazu bringt, eine unerwünschte Aktion auszuführen. Gemäß dem Sicherheits Advisory muss der Benutzer auf eine manipulierte URL klicken. Dann ist es möglich, schädliche Datenbankoperationen wie das Löschen von Datensätzen, das Löschen von Tabellen usw. durchzuführen. Details finden sich bei The Hacker News.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.