2016-0161: phpMyAdmin: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2016-01-28 17:32)
- Neues Advisory
- Version 2 (2016-01-29 12:08)
- Für Fedora EPEL 5 und Fedora 22 stehen Sicherheitsupdates auf phpMyAdmin 4.0.10.13, bzw. phpMyAdmin 4.5.4 in Form der Pakete phpMyAdmin4-4.0.10.13-1.el5 im Status 'pending', bzw. phpMyAdmin-4.5.4-1.fc22 im Status 'testing' zur Verfügung.
- Version 3 (2016-02-01 12:12)
- Das bereits referenzierte Sicherheitsupdate für Fedora EPEL 7 wurde überarbeitet, da nicht näher spezifizierte Probleme mit dem Paket phpMyAdmin-4.4.15.3-1.el7 existieren. Fedora stellt das Sicherheitsupdate phpMyAdmin-4.4.15.4-1.el7 im Status 'pending' unter der ID FEDORA-EPEL-2016-5aba523f53 zur Verfügung.
- Version 4 (2016-02-08 14:59)
- Für die Distributionen openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates zur Verfügung, die 7 Schwachstellen adressieren. Die Schwachstellen CVE-2016-2044 und CVE-2016-2045 werden nicht genannt.
- Version 5 (2016-02-09 12:31)
- Für die Distribution openSUSE 13.1 stehen ebenfalls Sicherheitsupdates zur Verfügung, die 7 Schwachstellen adressieren. Die Schwachstellen CVE-2016-2044 und CVE-2016-2045 werden nicht genannt.
- Version 6 (2016-03-10 16:49)
- In der TYPO3 Extension "phpMyAdmin", die nicht Bestandteil der TYPO3 Default Installation ist, bis einschließlich Version 5.1.4 sind die hier erläuterten Schwachstellen CVE-2016-1927, CVE-2016-2038 bis CVE-2016-2043 sowie die Schwachstelle CVE-2015-8669, die zum Ausspähen von Informationen ausgenutzt werden kann, ebenfalls enthalten. Über den TYPO3 Extension Manager kann das Sicherheitsupdate auf Version 5.1.5, über welches die aufgelisteten Schwachstellen adressiert werden, geladen werden.
Betroffene Software
Server
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in phpMyAdmin in den Versionen bis 4.0.10.12, 4.4.15.2 und 4.5.3.1 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen und die Durchführung von Cross-Site-Scripting (XSS)-Angriffen.
Das phpMyAdmin-Projekt stellt die Versionen 4.0.10.13, 4.4.15.3 und 4.5.4 als Sicherheitsupdates zum Herunterladen zur Verfügung.
Für Fedora EPEL 6 und 7 sowie Fedora 23 stehen Sicherheitsupdates auf phpMyAdmin 4.0.10.13, phpMyAdmin 4.4.15.3, bzw. phpMyAdmin 4.5.4 in Form der Pakete phpMyAdmin-4.0.10.13-1.el6, phpMyAdmin-4.4.15.3-1.el7, bzw. phpMyAdmin-4.5.4-1.fc23 im Status 'pending' bereit.
Schwachstellen:
CVE-2016-1927
Schwachstelle in phpMyAdmin ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2016-2038
Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von InformationenCVE-2016-2039
Schwachstelle in phpMyAdmin ermöglicht das Umgehen von SicherheitsvorkehrungenCVE-2016-2040
Schwachstellen in phpMyAdmin ermöglichen Cross-Site-Scripting-AngriffeCVE-2016-2041
Schwachstelle in phpMyAdmin ermöglicht das Umgehen von SicherheitsvorkehrungenCVE-2016-2042
Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von InformationenCVE-2016-2043
Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-AngriffCVE-2016-2044
Schwachstelle in phpMyAdmin ermöglicht das Ausspähen von InformationenCVE-2016-2045
Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.