Pull to refresh

Comments 66

Скорее всего речь идет об уязвимости, связанной с функцией unserialize. Информация об этой уязвимости появилась в листах еще в январе 2010 года:
phpmyadmin.net
securityfocus.com
Вкратце суть в том, что в файле setup.php существует ошибка, которая позволяет запихнуть в функцию unserialize непроверенные данные, которые могут повлечь взлом.
Уязвимы все версии до 2.11.10.
Рекомендации: обновиться до 2.11.10 или 3.0.0 и выше
На предмет каких-то новых уязвимостей в phpMyAdmin с тех пор тишина.
а достаточно будет сделать проще
вот так
locate setup.php | xargs -I '{}' rm '{}'
?
мне от fastvps пришло письмо, вам тоже? Текст один в один.
Всем клиентам пришло, мы еще вчера очень много подобных взломов зафиксировали, но разобрались в источнике только сегодня, сразу и сделали рассылку.
firstvds.ru, кстати, дня 2 назад в своем твиттере написали что «рекомендуем обновляться в связи с появлением эксплойта»
Мне от firstVDS позавчера
Эксплоит уже более полугода в свободном доступе, является доработанной версией вот этого сплоита. Уязвимость та же, но используется баг с автоматическим выполнением кода в __destruct() после того, как в unserialize() попадают данные со стороны пользователя.
Никто не заметил, что второй мануал весит 666кб? :)
UFO just landed and posted this here
UFO just landed and posted this here
Они самые, но на наших VPS они, к счастью, не работают. Более опасен второй бинарик, который dd_ssh, он представляет из себя брутфорсер удаленных машин.
UFO just landed and posted this here
4 месяца назад было исправление (в Debian), вот и результат…
да ломают уже давно им, расстраивает что в EPEL до сих пор старый пакет, надо руками что ли пересобрать
В Epel уже новый пакет, сегодня специально проверял:

yum -q info phpmyadmin
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 2.11.10
Release: 1.el5
Size: 12 M
Repo: installed
Summary: Web based MySQL browser written in php
URL: www.phpmyadmin.net/
License: GPLv2+
Description: phpMyAdmin is a tool written in PHP intended to handle the administration of
: MySQL over the Web. Currently it can create and drop databases,
: create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
: manage keys on fields, manage privileges,export data into various formats and
: is available in 50 languages
Вчера еще старый был вроде, хорошо, что обновили
Вот за это люблю Федору :)

Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 3.3.4
Release: 1.fc12
UFO just landed and posted this here
Ну там дырки постоянно, не понимаю зачем вешать его открыто. Два варианта защититься от его дырок
1) Не испльзовать phpmyadmin.
2) Закрыть его локейшен HTTP авторизацией.
я чуть ниже написал третий, еще более годный вариант ))
3) открывать phpmyadmin на адреса vpn и всего делов.
если приходится использовать phpMyadmin, то рекомендую открыть для себя персональные сертификаты для https )) и сделать сертификат пускающий к нему только тому кому оно реально нужно.
может быть вы и инструкцию для страждущих напишете? был бы вам премного благодарен
хм, да можно попробовать и инструкцию, если будет сегодня время, то постараюсь, если сегодня не будет, то может на днях…
а я как раз с нжинкс юзаю )) могу действительно набросать ))
набросайте, буду благодарен:)
для устранения угрозы достаточно просто аутентификации, хоть по логину/паролю. Но по сертификатам лучше, да.
я имел в виду HTTP-аутентификацию, а не аутентификацию самого приложения, ессно.
phpmyadmin (4:2.11.8.1-5+lenny4) stable-security; urgency=high

* Upload to stable to fix security issues.
* Unserialize called on untrusted data [CVE-2009-4605].
* Predictable temporary file names [CVE-2008-7252].
* May create tempdir with unsafe permissions [CVE-2008-7251].

— Thijs Kinkhorst <thijs@debian.org> Sat, 17 Apr 2010 13:55:41 +0200

Пофиксили ж еще в апреле, чего только в августе саппорт зашевелился?
Ранее ее никто не эксплуатировал, сейчас же повально через нее заливают всякую живность.
UFO just landed and posted this here
UFO just landed and posted this here
А пишут, что 3.x releases are not affected. Кому верить?
UFO just landed and posted this here
UFO just landed and posted this here
> кстати open_basedir не помогает?
>
phpmyadmin при установке из репозитория в своем файлике (в /etc/apache2/conf.d/) разрешает open_basedir писать в /tmp (оно ему нужно) и соответственно оттуда и запускается.
UFO just landed and posted this here
Я правильно понимаю, что если удалить setup.php, то уязвимости придёт конец?
Тоже мне эксплойт. Кто ж setup.php оставляет-то.
Можно удалить (переместить) весь каталог scripts.
Кроме того, некоторые панели, к примеру Parallels Plesk, не дают доступ к phpMyAdmin без аутентификации в панели.
Если phpMyAdmin используется редко, можно полностью исключать к нему доступ (например, переместить файлы phpMyAdmin). Боты любят лупится по его скриптам.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Ну тут вроде и не говорили о браузерных альтернативах. Говорили вообще об альтернативах набиранию SQL-запросов в консоли.
UFO just landed and posted this here
Если /tmp смонтировано в noexec, то из /tmp никто ничего не запустит
часто заливают перл скрипт и запускают через perl /tmp/badscript.txt

от этого ноэкзек не спасет.
Вот поэтому мне нравится FreeBSD и ее база портов =) который обновляются практически мгновенно, как выходит новая версия чего-либо…
В портах уже phpMyAdmin 3.3.5, php 5.3.3 и т.д.
но без косяков нигде не бывает… обновил quagga до последней версии (из портов) — слетел OSPF (pr уже закоммичен)…
Откатится на пред версию нельзя. (я знаю что бекапить при апдейте нужно было, сам виноват)… но все же…
обновление мгновенное, но до неработающей версии :-(
Ну согласен =))) Вот недавно был было два косяка в портах… и все связанные с обновление PNG
После обновления версию, слетал php-gd, те при обработке png изображения с помощью php-gd, рhp падал… Первый косяк решился через 1 месяц, обновилась версия пхп в портах до 5.3.2 (пришлось часть скриптов на сайтах переписывать), второй косяк был также при обновлении PNG с 1.4.1 до 1.4.1_1 — решился через 1.5 месяца, обновлением пхп до 5.3.3

плюс: всегда свежий софт
минус: возникает нестабильность в совместимость

Каждый пусть выберет себе одно из двух… Я выбрал «плюс»
Возможно я неправ, но смысла обновлять кваггу без крайней нужды?
В последний раз, когда мне оно было надо, квагга не понимала ASN32. В остальном — ложить всю автономку на время обновления смысла не особо, имхо.
я так понял народ держит phpMyAdmin наружу без каких либо аутентификаций??
что то верится с трудом в такую безалаберность
UFO just landed and posted this here
Sign up to leave a comment.

Articles