Ein Sicherheitsforscher hat in phpMyAdmin eine kritische Sicherheitslücke gefunden, über die Angreifer eine MySQL-Datenbank löschen oder manipulieren können.
Anzeige
Als ich die Schlagzeile las, habe ich erst einmal kräftig geflucht. phpMyAdmin ist die Administrationsoberfläche, mit der ich die MySQL-Datenbanken für meinen Blog gelegentlich warte. Diese Oberfläche ist millionenfach in Benutzung.
Allerdings ist die Lücke beherrschbar. Die von dem indischen Sicherheitsforscher Ashutosh Barot entdeckte Sicherheitslücke ermöglicht einen Cross-Site Request Forgery (CSRF)-Angriff und betrifft phpMyAdmin-Versionen 4.7.x (vor 4.7.7).
Die standortübergreifende Anfragesicherheitslücke, auch bekannt als XSRF, ist ein Angriff, bei dem ein Angreifer einen authentifizierten Benutzer dazu bringt, eine unerwünschte Aktion auszuführen. Gemäß dem Sicherheits Advisory muss der Benutzer auf eine manipulierte URL klicken. Dann ist es möglich, schädliche Datenbankoperationen wie das Löschen von Datensätzen, das Löschen von Tabellen usw. durchzuführen. Details finden sich bei The Hacker News.
Anzeige
Anzeige
