[Bug] Ausspaehen von Informationen mit phpMyAdmin

Und alles was mit phpMyAdmin seine Verwandtschaft findet hat hier seinen Platz.

[Bug] Ausspaehen von Informationen mit phpMyAdmin

Postby Shoukri » 18. February 2004 16:28

Hinweis: Die aktuellste Version laut phpmyadmin.net ist "Latest release candidate: 2.5.6-rc2" also ... updaten ;P

Code: Select all

-------- Original Message --------
Subject: [CERT-Bund: Kurzinfo 04/0094] Ausspaehen von Informationen mit phpMyAdmin
Date: Wed, 18 Feb 2004 09:36:07 +0100 (CET)
From: CERT-Bund <info@cert-bund.de>
Reply-To: wid-kurzinfo@cert-bund.de
To: kurzinfo-pgp@cert-bund.de

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

######################################################################

             CERT-Bund  --  Warn- und Informationsdienst             

######################################################################


       Kurzinformation zu Schwachstellen und Sicherheitsluecken
========================================================================


        Titel: Ausspaehen von Informationen mit phpMyAdmin

           ID: [04/0094]
        Datum: 2004-02-18
     Software: phpMyAdmin
      Version: vor Version 2.5.6-rc1
    Plattform: Windows, Unix, Linux
   Auswirkung: Ausspaehen von Informationen
Remoteangriff: ja
       Risiko: niedrig
        Bezug: <http://lists.netsys.com/pipermail/full-disclosure/200
               4-February/017455.html>


     Kurzinfo: Das Skript "export.php" prueft uebergebene Parameter
               ungenuegend, so dass beliebige Dateien gelesen und
               angezeigt werden koennen. Ein phpMyAdmin-Benutzer kann
               ueber diese Schwachstelle sensible Informationen
               ausspaehen.


 ---------------------------------------------------------------------

 BSI - Bundesamt fuer Sicherheit in der Informationstechnik
       Referat I 2.1 -- CERT-Bund

  <mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de/certbund>

========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>

Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
========================================================================

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iQEVAwUBQDMh8HHeVh32gfHqAQKePgf8CjZz+hxVj8S94CeBRWpr2IvnzBvBrICc
VxHprUm+DO4WTg+vuvNggt3yfivYQrjHhweXENdDxOloyOtpNKerxRMUDk8JxXTH
IDl4v+KPJ2W+BSnY6J6siG71zejszPJFQatMoIsJbNB8EjHGjkdQoPi04QCMEglC
Uuv4cUeccmSfH2mMEHS6Iwxy/RGNOczsUi1zXoe3sNj9lsuWacSrmP/SSq3Q1nWF
gg0KyImsnXWTkDBlFx2QfPxwgY66BZ5JORSSLmWgF3TCymsqRxCFR2hpS5jQXVYJ
DvvPhIO51nsdQZw6Q1ADC/QVjlJCWPBUITPICElDFTPqiLCeLEA6zg==
=JULu
-----END PGP SIGNATURE-----


</shoukri>
User avatar
Shoukri
 
Posts: 76
Joined: 29. October 2003 00:25

Return to phpMyAdmin

Who is online

Users browsing this forum: No registered users and 2 guests