phpMyAdmin 3.x angreifbar!

Ricko · Beitrag von **Ricko** » 19.01.2012, 15:55

Eine bereits gemeldete und veröffentlichte Schwachstelle zur Manipulation der Sessions wird nun scheinbar aktiv ausgenutzt.

Wer also noch nicht upgedatet hat sollte es tun oder zumindest selbst ständig die Änderung (wie in dem 2. Link beschrieben) vornehmen.

Bugreport:
http://www.cve.mitre.org/cgi-bin/cvenam ... -2011-2505

Informationen:

http://blog.spiderlabs.com/2012/01/hone ... ected.html

Der Grund ist eine Funktion, welche zwar 2 Parameter akzeptieren kann, der aber nur einer übergeben wird.

"parse_str($_SERVER['QUERY_STRING']);"

Ricko · Beitrag von **Ricko** » 19.01.2012, 15:57

Eine super phpMyAdmin alternative ist Adminer. (Früher: phpMinAdmin)

http://www.adminer.org/de/

Replace phpMyAdmin by Adminer and you will get tidier user interface, better support for MySQL features, higher performance and more security.

Hier eine Auflistung der Vorteile bzw. des Vorsprungs zu phpMyAdmin:

http://www.adminer.org/de/phpmyadmin/

AranankA · Beitrag von **AranankA** » 19.01.2012, 16:04

Passt gerade zu meiner "Entdeckung": STRATO lässt seine Kunden mit der phpMyAdmin 2.6.4-pl3 Version arbeiten und behauptet doch wirklich auf der HP (Stand 18.01.2012):

Eventuell auftretende Sicherheitsrisiken oder bekannte Bugs in phpMyAdmin werden von uns selbstverständlich sofort entfernt. Updates oder Versionsänderungen werden voraussichtlich einmal im Jahr durchgeführt.

Beitrag von **Lighty** » 19.01.2012, 16:15

Hallo Ricko !

... tja, darauf habe ich keinen Einfluss, denke aber darauf wird all-inkl schon achten !?

Danke für die Info !