phpMyAdmin erhält Sicherheits-Patch

Das kostenlose PHP-Tool phpMyAdmin ist eines der beliebtesten, vielleicht sogar das beliebteste Administrations-Frontend für MySQL-Datenbanken. Es bietet im Unterschied zum Kommandozeilen-Client MySQL eine ansprechende, übersichtliche und leistungsfähige Bedienoberfläche und wird anders als der MySQL-Query-Browser nicht auf dem Client-PC installiert, sondern bietet via Webbrowser Zugriff auf die Datenbank. Die jetzt erschienene Version phpMyAdmin 2.11.9 bringt nicht nur einige Fehlerkorrekturen mit, sondern schließt auch eine potenziell gefährliche Sicherheitslücke, durch die Angreifer Shell-Befehle auf dem Server ausführen können.

Der Fehler steckt im server_databases.php-Script. Ein Anwender, der sich bei phpMyAdmin angemeldet hat, konnte die Schwachstelle dafür ausnutzen, um seinen Shell-Code auf dem Webserver auszuführen. Das war aber nur möglich, wenn PHP so konfiguriert war/ist, dass es den exec-Befehl erlaubt. Durch das Update auf phpMyAdmin 2.11.9.1 wird diese Lücke geschlossen, wie der Sicherheitsmitteilung zu entnehmen ist, die Mitteilung des Entdeckers der Schwachstelle können Sie hier nachlesen. Der Release Candidate 1 von phpMyAdmin-3.0.0 ist von dem Problem ebenfalls betroffen. Das vollständige Changelog zu phpMyAdmin 2.11.9.1 mit den Fehlerkorrekturen können Sie hier nachlesen.

Das praktische Tool ist vollständig in der Skriptsprache PHP programmiert und auch Bestandteil des Xampp-Pakets (bei Redaktionsschluss war die neue Version von phpMyAdmin noch nicht Bestandteil des Xampp-Pakets). PhpMyAdmin steht für verschiedene Benutzersprachen, darunter auch auf Deutsch, für Linux und Windows zum Download bereit. Linux-Anwender können phpMyAdmin in der Regel am bequemsten über die Update-Funktion/Softwareverwaltung ihrer Distribution aktualisieren. PhpMyAdmin 2.11.9 setzt mindestens PHP ab Version 4.2 und MySQL ab 3.23.32 voraus. (PC-Welt/mja)