buy viagra
buy cialis
cheap cialis
generic viagra
04.01.2011, 16:37 Uhr

phpMyAdmin-Update für Debian: Stopfen Sie 3 Sicherheitslücken und stoppen Sie XSS-Angriffe

Ein Update für phpMyAdmin unter Debian Linux schließt drei Schwachstellen in dem verbreiteten Datenbank-Administrationsprogramm. Das auf PHP basierende Programm kommt gerade bei uns Hostern extrem häufig zum Einsatz, damit wir unseren Kunden einfach per Web-Browser Zugriff auf ihre MySQL-Datenbanken geben können. Dementsprechend sind von der Schwachstelle auch unzählige Hosting-Systeme betroffen.

Eine der drei Schwachstellen ist besonders gefährlich, da sie Cross-Site-Scripting-Angriffe (XSS-Angriffe) ermöglicht. Dadurch können Angreifer HTML- und Script-Code im Browser des Anwenders und im Kontext der jeweiligen Seite ausführen.

Die beiden anderen Schwachstellen ermöglichen zum einen das Auslesen der PHP-Konfiguration und weiterer Informationen über die Datei „phpinfo.php“ und zum anderen das Anzeigen einiger eingeschleuster HTML-Inhalte in der Browser-Sitzung.

Die XSS-Schwachstelle ist in den offiziellen phpMyAdmin-Versionen 2.11.11.1 und 3.3.8.1 bereits geschlossen worden. Die anderen beiden Schwachstellen sind jedoch laut Secunia bisher nur mit Git-Repository behoben.

Auf Ihren Debian-Systemen schließen Sie alle drei Schwachstellen mit dem aktuellen „phpmyadmin“-Paket von Debian. Dazu installieren Sie die aktuellen Stable-Version „2.11.8.1-5+lenny7“ bzw. Version „3.3.7-3“, wenn Sie die Testting- oder Unstable-Distribution verwenden. Ob die aktuelle Version des „phpmyadmin“-Pakets auf Ihrem System installiert ist, finden Sie mit dem folgenden Kommando heraus:

dpkg -l | grep phpmyadmin

Abbildung 1: Auf diesem Debian Lenny ist die aktuelle Version 2.11.8.1-5+lenny7 bereits installiert.

Falls Sie auf Ihrem System noch eine ältere Version einsetzen, sollten Sie diese über den Paketmanager APT aktualisieren, indem Sie die folgenden beiden Kommandos nacheinander ausführen:

apt-get update
apt-get install phpmyadmin