Sicherheitslücke in phpPgAdmin gemeldet

Über eine Schwachstelle in phpPgAdmin, einem Verwaltungswerkzeug für PostgreSQL Datenbanken, können Angreifer lokale PHP-Dateien einbinden.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 4.2.1 von phpPgAdmin auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die an den Parameter „_language“ in der Datei „lib_inc.php“ übergeben werden. Durch gezielte Manipulation solcher Eingaben können Angreifer mittels eines Verzeichniswechselangriffs beliebige lokale PHP-Dateien einbinden und ausführen. Ein Patch steht bislang nicht zur Verfügung.