2020-0026: phpMyAdmin: Eine Schwachstelle ermöglicht die Injektion von SQL-Programmcode

Historie:

Version 1 (2020-01-08 11:22)

Neues Advisory

Version 2 (2020-01-16 10:50)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle behoben wird.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer mit gültigem MySQL-Benutzerkonto kann eine Schwachstelle in phpMyAdmin ausnutzen, um SQL-Programmcode zur Ausführung zu bringen.

Der Hersteller informiert über die Schwachstelle in phpMyAdmin 4.x ab Version 4.0.0 sowie phpMyAdmin 5.0.0 und stellt die Versionen 4.9.4 und 5.0.1 als Sicherheitsupdates bereit. Benutzer von Versionen ab 4.8 können die Software auf eine dieser Versionen aktualisieren, um die Schwachstelle zu beheben. Für ältere Versionen steht ein Patch zur Verfügung.

Für Fedora 30 und 31 stehen Sicherheitsupdates auf Version 4.9.4 (2020-01-07) bzw. Version 5.0.1 (2020-01-07) im Status 'pending' bereit, welche damit diese Schwachstelle und eine Reihe weiterer, nicht sicherheitsrelevanter Fehler beheben.

Schwachstellen:

CVE-2020-5504

Schwachstelle in phpMyAdmin ermöglicht SQL-Injektion

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.