Nur zur Info für diejenigen, die sich gerne mal einen phpMyAdmin Ordner zum Arbeiten hochladen....
Er hatte beobachtet, dass Kriminelle eine Schwachstelle im Admin-Werkzeug Adminer dazu missbrauchen, einen verbundenen MySQL-Client dazu zu bewegen, ihren bösartigen Server zu kontaktieren.
Update 2019-01-20: the root cause is a protocol flaw in MySQL.
Curiously, it is described in the official documentation, that says:The transfer of the file from the client host to the server host is initiated by the MySQL server. In theory, a patched server could be built that would tell the client program to transfer a file of the server’s choosing rather than the file named by the client in the LOAD DATA statement. Such a server could access any file on the client host to which the client user has read access. (A patched server could in fact reply with a file-transfer request to any statement, not just LOAD DATA LOCAL, so a more fundamental issue is that clients should not connect to untrusted servers.)
Several clients and libraries have built-in protection for this “feature”, or disable it by default (eg Golang, Python, PHP-PDO). But not all, as the Adminer case demonstrates. And Adminer probably won’t be the last.
Einige Software-Systeme, die MySQL-Client-Funktionen implementieren, schützen sich bereits vor der Schwachstelle durch bösartige Server – etwa die Programmiersprachen Go und Python. Sicherlich besteht aber nach wie vor ein Risiko durch verwundbare Software wie Adminer, dessen sich Server-Betreiber bewusst sein sollten. Die Adminer-Entwickler haben die Lücke wohl ebenfalls mit Version 4.6.3 aus dem vergangenen Jahr geschlossen, ältere (verwundbare) Versionen der Software lassen sich aber nach wie vor tausendfach im Netz aufspüren.
Adminer 4.6.3 (released 2018-06-28):Disallow using password-less databasesCopy triggers when copying tableStop session before connectingSimplify running slow queriesDecrease timeout for running slow queries from 5 seconds to 2 secondsFix displaying info about non-alphabetical objects (bug #599)Use secure cookies on HTTP if session.cookie_secure is setPDO: Support binary fields downloadMySQL: Disallow LOAD DATA LOCAL INFILEMySQL: Use CONVERT() only when searching for non-ASCII (bug #603)MySQL: Order database names in MySQL 8 (bug #613)PostgreSQL: Fix editing data in views (bug #605, regression from 4.6.0)PostgreSQL: Do not cast date/time/number/uuid searches to text (bug #608)PostgreSQL: Export false as 0 in PDO (bug #619)MS SQL: Support port with sqlsrvEditor: Do not check boolean checkboxes with false in PostgreSQL (bug #607)
MySQL: Disallow LOAD DATA LOCAL INFILE
Begonnen von Bonner am Off Topic
Begonnen von Bonsai am Bastelecke
Begonnen von xtom am Off Topic
Begonnen von mhbosch am Bastelecke