๐ phpMyAdmin bis 4.0.10.12/4.4.15.2/4.5.3 Error Message Handler AES.php Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81041
Betroffen: phpMyAdmin bis 4.0.10.12/4.4.15.2/4.5.3
Veröffentlicht: 20.02.2016
Risiko: problematisch
Erstellt: 22.02.2016
Eintrag: 68.8% komplett
Beschreibung
Eine problematische Schwachstelle wurde in phpMyAdmin bis 4.0.10.12/4.4.15.2/4.5.3 gefunden. Es geht hierbei um eine unbekannte Funktion der Bibliothek libraries/phpseclib/Crypt/AES.php der Komponente Error Message Handler. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Path) ausgenutzt werden. Dies hat Einfluss auf die Vertraulichkeit.
Die Schwachstelle wurde am 20.02.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-2042 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 88472 (FreeBSD : phpmyadmin — Multiple full path disclosure vulnerabilities (740badcb-c60b-11e5-bf36-6805ca0b3d42)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet.
Ein Aktualisieren auf die Version 4.0.10.13, 4.4.15.3 oder 4.5.4 vermag dieses Problem zu lösen. Mit dieser Schwachstelle verwandte Einträge finden sich unter 81037, 81038, 81039 und 81040.CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:phpmyadmin:phpmyadmin:4.0.10.12
- cpe:/a:phpmyadmin:phpmyadmin:4.4.15.2
- cpe:/a:phpmyadmin:phpmyadmin:4.5.3
Exploiting
Klasse: Information Disclosure
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $2k-$5k (Heute)
Nessus ID: 88472
Nessus Name: FreeBSD : phpmyadmin — Multiple full path disclosure vulnerabilities (740badcb-c60b-11e5-bf36-6805ca0b3d42)
Nessus File: freebsd_pkg_740badcbc60b11e5bf366805ca0b3d42.nasl
Nessus Family: FreeBSD Local Security Checks
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: phpMyAdmin 4.0.10.13/4.4.15.3/4.5.4
Timeline
20.02.2016 | Advisory veröffentlicht
22.02.2016 | VulDB Eintrag erstellt
22.02.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-2042 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 81037, 81038, 81039, 81040, 81042, 81043 , 81044
...