Mehrere Schwachstellen in Open Source phpMyAdmin < 4.8.5

[fishnet]

Nur zur Info für diejenigen, die sich gerne mal einen phpMyAdmin Ordner zum Arbeiten hochladen.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in phpMyAdmin ausnutzen, um Daten
offenzulegen oder eine SQL-Injection durchzuführen.

Betroffene Systeme:
Open Source phpMyAdmin < 4.8.5

Quellen:
- https://www.phpmyadmin.net/security/PMASA-2019-1/
- https://www.phpmyadmin.net/security/PMASA-2019-2/

Linkback: https://www.modified-shop.org/forum/index.php?topic=39959.0

[noRiddle (revilonetz)]

Good to know.
Danke für die Information.

Nur zur Info für diejenigen, die sich gerne mal einen phpMyAdmin Ordner zum Arbeiten hochladen.
...

Das sollte man ja auch ohne zumindest guten htpasswd-Schutz nicht tun.

Gruß,
noRiddle

[fishnet]

Jaja, hätte,sollte, könnte... 

Übrigens erschien gestern eine ähnliche Warnung für die alten Versionen von adminer.php

[hpzeller]

adminer.php verwende ich oft allerdings lade ich das Skript immer so -> adminer_h5tXxLOm.php auf den Server. Ich verwende zur Zeit V4.7.0 die aktuellste Version ist V4.7.1, hier -> https://sourceforge.net/p/adminer/news/ kann ich bezüglich neue hinzugekommenen Sicherheitsfeatures in V4.7.1 nichts finden.

Post bitte deine Quelle

Gruss
Hanspeter

[fishnet]

https://www.heise.de/security/meldung/Magento-Webserver-ueber-Schwachstelle-im-MySQL-Protokoll-gehackt-4284536.html

Er hatte beobachtet, dass Kriminelle eine Schwachstelle im Admin-Werkzeug Adminer dazu missbrauchen, einen verbundenen MySQL-Client dazu zu bewegen, ihren bösartigen Server zu kontaktieren.

was wiederum auf dieser Quelle basiert

https://gwillem.gitlab.io/2019/01/17/adminer-4.6.2-file-disclosure-vulnerability/

und hier wiederum upgedatet wurde:

Update 2019-01-20: the root cause is a protocol flaw in MySQL.

Curiously, it is described in the official documentation, that says:

The transfer of the file from the client host to the server host is initiated by the MySQL server. In theory, a patched server could be built that would tell the client program to transfer a file of the server’s choosing rather than the file named by the client in the LOAD DATA statement. Such a server could access any file on the client host to which the client user has read access. (A patched server could in fact reply with a file-transfer request to any statement, not just LOAD DATA LOCAL, so a more fundamental issue is that clients should not connect to untrusted servers.)

 

Several clients and libraries have built-in protection for this “feature”, or disable it by default (eg Golang, Python, PHP-PDO). But not all, as the Adminer case demonstrates. And Adminer probably won’t be the last.

[hpzeller]

Danke für die Info.

Dann wurde also laut deiner Quelle, siehe nachfolgend, die Lücke im Adminer mit Version 4.6.3 geschlossen.

https://www.heise.de/security/meldung/Magento-Webserver-ueber-Schwachstelle-im-MySQL-Protokoll-gehackt-4284536.html

Aus obiger Quelle

Einige Software-Systeme, die MySQL-Client-Funktionen implementieren, schützen sich bereits vor der Schwachstelle durch bösartige Server – etwa die Programmiersprachen Go und Python. Sicherlich besteht aber nach wie vor ein Risiko durch verwundbare Software wie Adminer, dessen sich Server-Betreiber bewusst sein sollten. Die Adminer-Entwickler haben die Lücke wohl ebenfalls mit Version 4.6.3 aus dem vergangenen Jahr geschlossen, ältere (verwundbare) Versionen der Software lassen sich aber nach wie vor tausendfach im Netz aufspüren.

PS:
Im https://github.com/vrana/adminer/blob/master/changes.txt stehen folgende Änderungen zur Version 4.6.3 drin,

Adminer 4.6.3 (released 2018-06-28):
Disallow using password-less databases
Copy triggers when copying table
Stop session before connecting
Simplify running slow queries
Decrease timeout for running slow queries from 5 seconds to 2 seconds
Fix displaying info about non-alphabetical objects (bug #599)
Use secure cookies on HTTP if session.cookie_secure is set
PDO: Support binary fields download
MySQL: Disallow LOAD DATA LOCAL INFILE
MySQL: Use CONVERT() only when searching for non-ASCII (bug #603)
MySQL: Order database names in MySQL 8 (bug #613)
PostgreSQL: Fix editing data in views (bug #605, regression from 4.6.0)
PostgreSQL: Do not cast date/time/number/uuid searches to text (bug #608)
PostgreSQL: Export false as 0 in PDO (bug #619)
MS SQL: Support port with sqlsrv
Editor: Do not check boolean checkboxes with false in PostgreSQL (bug #607)

ich denke folgende Änderung darin soll wohl die Lücke schliessen.

MySQL: Disallow LOAD DATA LOCAL INFILE

Gruss
Hanspeter