Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 66
Скорее всего речь идет об уязвимости, связанной с функцией unserialize. Информация об этой уязвимости появилась в листах еще в январе 2010 года:
phpmyadmin.net
securityfocus.com
Вкратце суть в том, что в файле setup.php существует ошибка, которая позволяет запихнуть в функцию unserialize непроверенные данные, которые могут повлечь взлом.
Уязвимы все версии до 2.11.10.
Рекомендации: обновиться до 2.11.10 или 3.0.0 и выше
На предмет каких-то новых уязвимостей в phpMyAdmin с тех пор тишина.
phpmyadmin.net
securityfocus.com
Вкратце суть в том, что в файле setup.php существует ошибка, которая позволяет запихнуть в функцию unserialize непроверенные данные, которые могут повлечь взлом.
Уязвимы все версии до 2.11.10.
Рекомендации: обновиться до 2.11.10 или 3.0.0 и выше
На предмет каких-то новых уязвимостей в phpMyAdmin с тех пор тишина.
мне от fastvps пришло письмо, вам тоже? Текст один в один.
да именно
Всем клиентам пришло, мы еще вчера очень много подобных взломов зафиксировали, но разобрались в источнике только сегодня, сразу и сделали рассылку.
firstvds.ru, кстати, дня 2 назад в своем твиттере написали что «рекомендуем обновляться в связи с появлением эксплойта»
Мне от firstVDS позавчера
Эксплоит уже более полугода в свободном доступе, является доработанной версией вот этого сплоита. Уязвимость та же, но используется баг с автоматическим выполнением кода в __destruct() после того, как в unserialize() попадают данные со стороны пользователя.
С 3.х веткой все в порядке что ли?
Ссыль на админа FastVPS.ru
phpsuxx.blogspot.com/2010/08/phpmyadmin.html
phpsuxx.blogspot.com/2010/08/phpmyadmin.html
да ломают уже давно им, расстраивает что в EPEL до сих пор старый пакет, надо руками что ли пересобрать
yum upgrade -y phpmyadmin который они рекомендуют как раз из EPEL и ставит (а в стандартном репозитории CentOS нет его) и там новый download.fedora.redhat.com/pub/epel/5/i386/phpMyAdmin-2.11.10-1.el5.noarch.rpm
В Epel уже новый пакет, сегодня специально проверял:
yum -q info phpmyadmin
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 2.11.10
Release: 1.el5
Size: 12 M
Repo: installed
Summary: Web based MySQL browser written in php
URL: www.phpmyadmin.net/
License: GPLv2+
Description: phpMyAdmin is a tool written in PHP intended to handle the administration of
: MySQL over the Web. Currently it can create and drop databases,
: create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
: manage keys on fields, manage privileges,export data into various formats and
: is available in 50 languages
yum -q info phpmyadmin
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 2.11.10
Release: 1.el5
Size: 12 M
Repo: installed
Summary: Web based MySQL browser written in php
URL: www.phpmyadmin.net/
License: GPLv2+
Description: phpMyAdmin is a tool written in PHP intended to handle the administration of
: MySQL over the Web. Currently it can create and drop databases,
: create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
: manage keys on fields, manage privileges,export data into various formats and
: is available in 50 languages
Вот за это люблю Федору :)
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 3.3.4
Release: 1.fc12
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 3.3.4
Release: 1.fc12
Ну там дырки постоянно, не понимаю зачем вешать его открыто. Два варианта защититься от его дырок
1) Не испльзовать phpmyadmin.
2) Закрыть его локейшен HTTP авторизацией.
1) Не испльзовать phpmyadmin.
2) Закрыть его локейшен HTTP авторизацией.
если приходится использовать phpMyadmin, то рекомендую открыть для себя персональные сертификаты для https )) и сделать сертификат пускающий к нему только тому кому оно реально нужно.
может быть вы и инструкцию для страждущих напишете? был бы вам премного благодарен
для устранения угрозы достаточно просто аутентификации, хоть по логину/паролю. Но по сертификатам лучше, да.
phpmyadmin (4:2.11.8.1-5+lenny4) stable-security; urgency=high
* Upload to stable to fix security issues.
* Unserialize called on untrusted data [CVE-2009-4605].
* Predictable temporary file names [CVE-2008-7252].
* May create tempdir with unsafe permissions [CVE-2008-7251].
— Thijs Kinkhorst <thijs@debian.org> Sat, 17 Apr 2010 13:55:41 +0200
Пофиксили ж еще в апреле, чего только в августе саппорт зашевелился?
* Upload to stable to fix security issues.
* Unserialize called on untrusted data [CVE-2009-4605].
* Predictable temporary file names [CVE-2008-7252].
* May create tempdir with unsafe permissions [CVE-2008-7251].
— Thijs Kinkhorst <thijs@debian.org> Sat, 17 Apr 2010 13:55:41 +0200
Пофиксили ж еще в апреле, чего только в августе саппорт зашевелился?
спасибо. обновился)
Я правильно понимаю, что если удалить setup.php, то уязвимости придёт конец?
Тоже мне эксплойт. Кто ж setup.php оставляет-то.
Можно удалить (переместить) весь каталог scripts.
Кроме того, некоторые панели, к примеру Parallels Plesk, не дают доступ к phpMyAdmin без аутентификации в панели.
Если phpMyAdmin используется редко, можно полностью исключать к нему доступ (например, переместить файлы phpMyAdmin). Боты любят лупится по его скриптам.
Кроме того, некоторые панели, к примеру Parallels Plesk, не дают доступ к phpMyAdmin без аутентификации в панели.
Если phpMyAdmin используется редко, можно полностью исключать к нему доступ (например, переместить файлы phpMyAdmin). Боты любят лупится по его скриптам.
Если /tmp смонтировано в noexec, то из /tmp никто ничего не запустит
Спасибо, в GLSA инфы не было (и нет).
Вот поэтому мне нравится FreeBSD и ее база портов =) который обновляются практически мгновенно, как выходит новая версия чего-либо…
В портах уже phpMyAdmin 3.3.5, php 5.3.3 и т.д.
В портах уже phpMyAdmin 3.3.5, php 5.3.3 и т.д.
но без косяков нигде не бывает… обновил quagga до последней версии (из портов) — слетел OSPF (pr уже закоммичен)…
Откатится на пред версию нельзя. (я знаю что бекапить при апдейте нужно было, сам виноват)… но все же…
обновление мгновенное, но до неработающей версии :-(
Откатится на пред версию нельзя. (я знаю что бекапить при апдейте нужно было, сам виноват)… но все же…
обновление мгновенное, но до неработающей версии :-(
Ну согласен =))) Вот недавно был было два косяка в портах… и все связанные с обновление PNG
После обновления версию, слетал php-gd, те при обработке png изображения с помощью php-gd, рhp падал… Первый косяк решился через 1 месяц, обновилась версия пхп в портах до 5.3.2 (пришлось часть скриптов на сайтах переписывать), второй косяк был также при обновлении PNG с 1.4.1 до 1.4.1_1 — решился через 1.5 месяца, обновлением пхп до 5.3.3
плюс: всегда свежий софт
минус: возникает нестабильность в совместимость
Каждый пусть выберет себе одно из двух… Я выбрал «плюс»
После обновления версию, слетал php-gd, те при обработке png изображения с помощью php-gd, рhp падал… Первый косяк решился через 1 месяц, обновилась версия пхп в портах до 5.3.2 (пришлось часть скриптов на сайтах переписывать), второй косяк был также при обновлении PNG с 1.4.1 до 1.4.1_1 — решился через 1.5 месяца, обновлением пхп до 5.3.3
плюс: всегда свежий софт
минус: возникает нестабильность в совместимость
Каждый пусть выберет себе одно из двух… Я выбрал «плюс»
Возможно я неправ, но смысла обновлять кваггу без крайней нужды?
В последний раз, когда мне оно было надо, квагга не понимала ASN32. В остальном — ложить всю автономку на время обновления смысла не особо, имхо.
В последний раз, когда мне оно было надо, квагга не понимала ASN32. В остальном — ложить всю автономку на время обновления смысла не особо, имхо.
я так понял народ держит phpMyAdmin наружу без каких либо аутентификаций??
что то верится с трудом в такую безалаберность
что то верится с трудом в такую безалаберность
Может все-таки "Информационная безопасность", а не "Open source"? ;-)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Для phpMyAdmin появился эксплоит