Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0752 [1.04]

Kwetsbaarheden verholpen in phpMyAdmin

30-09-2016 - De ontwikkelaars van PHPMyAdmin hebben meerdere kwetsbaarheden met verschillende impact opgelost.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.04 #############################

Titel           : Kwetsbaarheden verholpen in phpMyAdmin
Advisory ID     : NCSC-2016-0752
Versie          : 1.04
Kans            : medium
CVE ID          : CVE-2016-6606, CVE-2016-6607, CVE-2016-6608,
                  CVE-2016-6609, CVE-2016-6610, CVE-2016-6611,
                  CVE-2016-6612, CVE-2016-6613, CVE-2016-6614,
                  CVE-2016-6615, CVE-2016-6616, CVE-2016-6617,
                  CVE-2016-6618, CVE-2016-6619, CVE-2016-6620,
                  CVE-2016-6622, CVE-2016-6623, CVE-2016-6624,
                  CVE-2016-6625, CVE-2016-6626, CVE-2016-6627,
                  CVE-2016-6628, CVE-2016-6629, CVE-2016-6630,
                  CVE-2016-6631, CVE-2016-6632, CVE-2016-6633
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Request Forgery (XSRF)
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Manipulatie van gegevens
                  Omzeilen van authenticatie
                  Omzeilen van beveiligingsmaatregel
                  Remote code execution (Gebruikersrechten)
                  SQL Injection
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160930
Toepassing      : PHPMyAdmin
                  TYPO3
Versie(s)       : < 4.6.4, 4.4.15.8 en 4.0.10.17
Platform(s)     : FreeBSD
                  Linux
                  UNIX

Update
   De ontwikkelaars van TYPO3 hebben een update van de
   phpMyAdmin-plugin beschikbaar gemaakt om de kwetsbaarheden te
   verhelpen. Zie "Mogelijke oplossingen" voor meer informatie.

Samenvatting
   De ontwikkelaars van PHPMyAdmin hebben meerdere kwetsbaarheden met
   verschillende impact opgelost.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden misbruiken voor het
   uitvoeren van een Cross-Site Scripting (XSS)-aanval. Een dergelijke
   aanval kan leiden tot de uitvoer van willekeurige scriptcode in de
   browser waarmee de applicatie wordt bezocht. Ook kan een
   kwaadwillende de kwetsbaarheden mogelijk misbruiken om een
   Denial-of-Service te veroorzaken of willekeurige code uitvoeren.
   Verder kan een kwaadwillende de kwetsbaarheden misbruiken voor het
   verkrijgen van informatie van het systeem.

Beschrijving
   De ontwikkelaars van phpMyAdmin hebben meerdere kwetsbaarheden
   verholpen die een verschillende impact hebben. Voor meer informatie
   over de kwetsbaarheden zie:
   
   https://www.phpmyadmin.net/security/
   
   De kwetsbaarheden zijn beschreven in de verschillende
   beveiligingsaankondigingen die door de ontwikkelaars van phpMyAdmin
   gepubliceerd zijn. De onderstaande tabel geeft een overzicht van het
   CVE-ID, de betreffende aankondigingen en een korte omschrijving van
   de kwetsbaarheid.
   
   --------------+---------------+-----------------------------------
   CVE-ID        | phpMyAdmin-ID | Omschrijving
   --------------+---------------+-----------------------------------
   CVE-2016-6606 | PMASA-2016-29 | Cookie-encryptiekwetsbaarheid
   CVE-2016-6607 | PMASA-2016-30 | Meerdere XSS-kwetsbaarheden
   CVE-2016-6608 | PMASA-2016-31 | Meerdere XSS-kwetsbaarheden
   CVE-2016-6609 | PMASA-2016-32 | PHP code injectie
   CVE-2016-6610 | PMASA-2016-33 | Path disclosure
   CVE-2016-6611 | PMASA-2016-34 | SQL injectie
   CVE-2016-6612 | PMASA-2016-35 | Lokale bestandsinzage
   CVE-2016-6613 | PMASA-2016-36 | Lokale bestandsinzage 
   CVE-2016-6614 | PMASA-2016-37 | Path traversal
   CVE-2016-6615 | PMASA-2016-38 | Meerdere XSS-kwetsbaarheden
   CVE-2016-6616 | PMASA-2016-39 | SQL-injectie
   CVE-2016-6617 | PMASA-2016-40 | SQL-injectie
   CVE-2016-6618 | PMASA-2016-41 | Denial-of-Service (DOS)
   CVE-2016-6619 | PMASA-2016-42 | SQL-injectie
   CVE-2016-6620 | PMASA-2016-43 | Manipulatie van gegevens
   CVE-2016-6622 | PMASA-2016-45 | Denial-of-Service (DOS) connecties
   CVE-2016-6623 | PMASA-2016-46 | Denial-of-Service (DOS) for loops
   CVE-2016-6624 | PMASA-2016-47 | Omzeilen authenticatie
   CVE-2016-6625 | PMASA-2016-48 | Toegang gevoelige gegevens
   CVE-2016-6626 | PMASA-2016-49 | Omzeilen redirect beveiliging
   CVE-2016-6627 | PMASA-2016-50 | Toegang gevoelige gegevens
   CVE-2016-6628 | PMASA-2016-51 | Toegang gevoelige gegevens
   CVE-2016-6629 | PMASA-2016-52 | Omzeilen beveiligingsmaatregel
   CVE-2016-6630 | PMASA-2016-53 | Denial-of-Service (DOS) wachtwoord
   CVE-2016-6631 | PMASA-2016-54 | Code-executie in CGI modus
   CVE-2016-6632 | PMASA-2016-55 | Denial-of-Service (DOS) 
   CVE-2016-6633 | PMASA-2016-56 | Code-executie in dbase-extension
   --------------+---------------+-----------------------------------

Mogelijke oplossingen
   De ontwikkelaars van phpMyAdmin hebben versies 4.6.4, 4.4.15.8 en
   4.0.10.17 uitgebracht die de kwetsbaarheden verhelpen. Voor meer
   informatie over de kwetsbaarheden en de beschikbare updates, zie de
   volgende pagina:
   
   https://www.phpmyadmin.net/security/
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor phpMyAdmin 4.6.4 voor
   Fedora 23 en 24. U kunt deze updates installeren met behulp van het
   commando 'dnf' of 'yum'. Meer informatie over deze updates en over
   een eventueel handmatige installatie vindt u op:
   
   Fedora 23:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /EHN2C3A3JKJWJGBWNREVKUMSSBBDX6FL/
   
   Fedora 24:
   https://lists.fedoraproject.org/archives/list
      /package-announce@lists.fedoraproject.org/message
      /5IFNFVE3GYQTBDLRNTKVP7XXSYF4R2DO/
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in phpmyadmin. U kunt deze updates installeren uit de
   FreeBSD ports. Meer informatie over deze updates vindt u op:
   
   http://www.freshports.org/databases/phpmyadmin/
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt
   deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://lists.opensuse.org/opensuse-security-announce/2016-08
      /msg00047.html
   
   -= TYPO3 =-
   De ontwikkelaars van TYPO3 hebben een update van de
   phpMyAdmin-plugin beschikbaar gemaakt om de kwetsbaarheden te
   verhelpen. Zie de volgende pagina voor meer informatie:
   
   https://typo3.org/news/article
      /multiple-vulnerabilities-in-extension-phpmyadmin-phpmyadmin/

Hyperlinks
   http://www.vuxml.org/freebsd
      /ef70b201-645d-11e6-9cdc-6805ca0b3d42.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=0l9n
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017