Nach einem Bericht der Entwickler von phpMyAdmin ist eine Schwachstelle in der Version 2.11.5 aufgetreten und geschlossen worden. In dem weit verbreitete MySQL-Administrationswerkzeug sei eine SQL-Injection möglich gewesen, sagt der Bericht weiter.phpMyAdmin benutzt beim Auslesen der Parameterliste das Variablen-Array $_REQUEST statt $_GET oder $_POST. Es soll verschiedene Server geben, auf denen Anwender-Cookies mit den anderen Variablen durcheinander geraten. Angreifern ist es damit möglich, Besuchern auf einer Seite auf dem gleichen Server bestimmte Cookies unterzuschieben. In diesen Cookies wird ein "sql_query"-Name gesetztund damit die SQL-Anfrage des Anwenders überschreiben.
Die Entwickler haben das Problem als ernsthaftes Sicherheitsproblem eingestuft. Parallel zum Update der Software wird auch ein Patch bereitgestellt, der Fehler in der Prozedur um das $_REQUEST-Array und die Cookies behebt.
zurück zur Übersicht | Szene.News eintragen
Kommentare
Noch keine Kommentare vorhanden.
Kommentar anfügen
