Update

De ontwikkelaars van TYPO3 hebben een update van de phpMyAdmin-plugin beschikbaar gemaakt om de kwetsbaarheden te verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Versie

< 4.6.4, 4.4.15.8 en 4.0.10.17

Gevolgen

Een kwaadwillende kan de kwetsbaarheden misbruiken voor het uitvoeren van een Cross-Site Scripting (XSS)-aanval. Een dergelijke aanval kan leiden tot de uitvoer van willekeurige scriptcode in de browser waarmee de applicatie wordt bezocht. Ook kan een kwaadwillende de kwetsbaarheden mogelijk misbruiken om een Denial-of-Service te veroorzaken of willekeurige code uitvoeren. Verder kan een kwaadwillende de kwetsbaarheden misbruiken voor het verkrijgen van informatie van het systeem.

Beschrijving

De ontwikkelaars van phpMyAdmin hebben meerdere kwetsbaarheden verholpen die een verschillende impact hebben. Voor meer informatie over de kwetsbaarheden zie:
https://www.phpmyadmin.net/security/
De kwetsbaarheden zijn beschreven in de verschillende beveiligingsaankondigingen die door de ontwikkelaars van phpMyAdmin gepubliceerd zijn. De onderstaande tabel geeft een overzicht van het CVE-ID, de betreffende aankondigingen en een korte omschrijving van de kwetsbaarheid. --------------
phpMyAdmin-IDOmschrijving
PMASA-2016-29Cookie-encryptiekwetsbaarheid
PMASA-2016-30Meerdere XSS-kwetsbaarheden
PMASA-2016-31Meerdere XSS-kwetsbaarheden
PMASA-2016-32PHP code injectie
PMASA-2016-33Path disclosure
PMASA-2016-34SQL injectie
PMASA-2016-35Lokale bestandsinzage
PMASA-2016-36Lokale bestandsinzageCVE-2016-6614PMASA-2016-37Path traversal
PMASA-2016-38Meerdere XSS-kwetsbaarheden
PMASA-2016-39SQL-injectie
PMASA-2016-40SQL-injectie
PMASA-2016-41Denial-of-Service (DOS)
PMASA-2016-42SQL-injectie
PMASA-2016-43Manipulatie van gegevens
PMASA-2016-45Denial-of-Service (DOS) connecties
PMASA-2016-46Denial-of-Service (DOS) for loops
PMASA-2016-47Omzeilen authenticatie
PMASA-2016-48Toegang gevoelige gegevens
PMASA-2016-49Omzeilen redirect beveiliging
PMASA-2016-50Toegang gevoelige gegevens
PMASA-2016-51Toegang gevoelige gegevens
PMASA-2016-52Omzeilen beveiligingsmaatregel
PMASA-2016-53Denial-of-Service (DOS) wachtwoord
PMASA-2016-54Code-executie in CGI modus
PMASA-2016-55Denial-of-Service (DOS)
PMASA-2016-56Code-executie in dbase-extension


-

Mogelijke oplossingen

De ontwikkelaars van phpMyAdmin hebben versies 4.6.4, 4.4.15.8 en 4.0.10.17 uitgebracht die de kwetsbaarheden verhelpen. Voor meer informatie over de kwetsbaarheden en de beschikbare updates, zie de volgende pagina:
https://www.phpmyadmin.net/security/

Fedora

Fedora heeft updates beschikbaar gesteld voor phpMyAdmin 4.6.4 voor Fedora 23 en 24. U kunt deze updates installeren met behulp van het commando 'dnf' of 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op:
Fedora 23:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EHN2C3A3JKJWJGBWNREVKUMSSBBDX6FL/
Fedora 24:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/5IFNFVE3GYQTBDLRNTKVP7XXSYF4R2DO/

FreeBSD

FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in phpmyadmin. U kunt deze updates installeren uit de FreeBSD ports. Meer informatie over deze updates vindt u op:
http://www.freshports.org/databases/phpmyadmin/

OpenSUSE

De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt deze aangepaste packages installeren door gebruik te maken van 'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
https://lists.opensuse.org/opensuse-security-announce/2016-08/msg00047.html

TYPO3

De ontwikkelaars van TYPO3 hebben een update van de phpMyAdmin-plugin beschikbaar gemaakt om de kwetsbaarheden te verhelpen. Zie de volgende pagina voor meer informatie:
https://typo3.org/news/article/multiple-vulnerabilities-in-extension-phpmyadmin-phpmyadmin/
Hyperlinks
http://www.vuxml.org/freebsd/ef70b201-645d-11e6-9cdc-6805ca0b3d42.html

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.