18.09.2008, 20:00:32
Die Version phpMyAdmin 2.11.9.1 bringt nicht nur einige Fehlerkorrekturen mit, sondern schließt auch eine potenziell gefährliche Sicherheitslücke, durch die Angreifer unter bestimmten Voraussetzungen Shell-Befehle auf dem Server ausführen konnten.
Ein Anwender, der sich bei phpMyAdmin angemeldet hat, konnte die Schwachstelle dafür ausnutzen, um seinen Shell-Code auf dem Webserver auszuführen. Das war aber nur möglich, wenn PHP so konfiguriert war, dass es den exec-Befehl erlaubt.
Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory
Hinweis:
Auf unseren Serversystemen ist aus Sicherheitsgründen grundsätzlich
shell_exec disable, so dass o.g. Sicherheitslücke nicht zum tragen kam.
Ein Anwender, der sich bei phpMyAdmin angemeldet hat, konnte die Schwachstelle dafür ausnutzen, um seinen Shell-Code auf dem Webserver auszuführen. Das war aber nur möglich, wenn PHP so konfiguriert war, dass es den exec-Befehl erlaubt.
Weitere Details zur o.g. Version entnehmen Sie bei Bedarf der Versionshistory
Hinweis:
Auf unseren Serversystemen ist aus Sicherheitsgründen grundsätzlich
shell_exec disable, so dass o.g. Sicherheitslücke nicht zum tragen kam.