PDA

Bekijk Volledige Versie : Onderzoekers ontdekken kritiek lek in Phpmyadmin



Ber|Art
08/12/05, 10:34
Beveiligingsexperts waarschuwen voor een lek in een van de modules van Phpmyadmin dat kan worden misbruikt om toegang tot de database te krijgen.

Hardened-PHP Project heeft een fout ontdekt in versie 2.7.0 van Phpmyadmin, een veelgebruikt open-sourceprogramma om mysql-databases via het web te beheren.

Volgens ontdekker Stefan Esser is de fout makkelijk te misbruiken en zorgt dat ervoor dat de achterliggende database nagenoeg onbeschermd is. Phpmyadmin zou hierdoor tevens vatbaar zijn voor cross site scripting, waarbij een aanvaller zijn eigen code kan injecteren.

Het bewuste lek wordt veroorzaakt door een fout in de emulatielaag van het bestand grab_globals.php waardoor de blacklist met variabelen kan worden overschreven.

Volgens Esser kan dit er uiteindelijk toe leiden dat aanvallers controle over het systeem krijgen.

Zeer Kritiek
Onderzoeksbureau Secunia noemt het door Esser ontdekte lek 'zeer kritiek' en stelt dat misbruik van het lek potentieel gevoelige database-informatie kan blootleggen.

Esser heeft zijn bevindingen eerder deze maand kenbaar gemaakt aan de makers van Phpmyadmin. Inmiddels is er een nieuwe versie uit waarin het lek niet voorkomt. Onderzoekers adviseren gebruikers dan ook te upgraden naar versie 2.7.0-pl1.

Bron: WebWereld

Ber|Art
08/12/05, 10:53
Wat ik me nu afvraag, zit dit lek nu alléén in 2.7 of ook in alle voorgaande versies zoals 2.6?

mind
08/12/05, 11:00
Origineel geplaatst door BerArt
Wat ik me nu afvraag, zit dit lek nu alléén in 2.7 of ook in alle voorgaande versies zoals 2.6?

Alleen in 2.7...

.....
phpMyAdmin 2.7.0-pl1 is released

This is patch level 1 for phpMyAdmin 2.7.0, fixing a vulnerability introduced in version 2.7.0.
.....

Keenondots
08/12/05, 13:18
Ik denk dat het lek vooral kritiek is als je het account voor de db hardcode in config.inc.php.

Als je cookie of http auth gebruikt moet iemand wel eerst inloggen voordat hij bij de db kan.

..en vervolgens denk ik dat de meesten geen config auth gebruiken.

crazycoder
08/12/05, 15:04
Er zitten erg vaak fouten in phpmyadmin. Dat weten de scriptkiddies ook.. je moest een weten hoeveel requests ik langs zie fietsen met phpmyadmin* in de url.
Schijnt momenteel meer in de mode te zijn dan pogingen om awstats te misbruiken :)

Als er dan weer een ander lek wordt gevonden verbaasd het mij absoluut niet.

Wido
08/12/05, 15:46
Zolang er geen hardcoded user + pass in pma staat is het onmogelijk om bij de database gegevens te komen zonder MySQL te brute-forcen.

Áls je als config auth in PMA hebt, dan staat die neem ik aan wel achter een .htaccess oid.

MMaI
09/12/05, 18:37
en anders verdien je het om gehackt te worden