How to become an author
Search
Write a publication
Pull to refresh

Comments 66

Скорее всего речь идет об уязвимости, связанной с функцией unserialize. Информация об этой уязвимости появилась в листах еще в январе 2010 года:
phpmyadmin.net
securityfocus.com
Вкратце суть в том, что в файле setup.php существует ошибка, которая позволяет запихнуть в функцию unserialize непроверенные данные, которые могут повлечь взлом.
Уязвимы все версии до 2.11.10.
Рекомендации: обновиться до 2.11.10 или 3.0.0 и выше
На предмет каких-то новых уязвимостей в phpMyAdmin с тех пор тишина.
Total votes 7: ↑7 and ↓0+7
а достаточно будет сделать проще
вот так
locate setup.php | xargs -I '{}' rm '{}'
?
This comment wasn’t rated yet0
мне от fastvps пришло письмо, вам тоже? Текст один в один.
Total votes 5: ↑5 and ↓0+5
Всем клиентам пришло, мы еще вчера очень много подобных взломов зафиксировали, но разобрались в источнике только сегодня, сразу и сделали рассылку.
Total votes 13: ↑13 and ↓0+13
firstvds.ru, кстати, дня 2 назад в своем твиттере написали что «рекомендуем обновляться в связи с появлением эксплойта»
Total votes 1: ↑1 and ↓0+1
Не подписаны :( Сейчас это исправим :)
This comment wasn’t rated yet0
Мне от firstVDS позавчера
This comment wasn’t rated yet0
Эксплоит уже более полугода в свободном доступе, является доработанной версией вот этого сплоита. Уязвимость та же, но используется баг с автоматическим выполнением кода в __destruct() после того, как в unserialize() попадают данные со стороны пользователя.
Total votes 11: ↑11 and ↓0+11
Никто не заметил, что второй мануал весит 666кб? :)
This comment wasn’t rated yet0
Да, уязвима только 2.x
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
Они самые, но на наших VPS они, к счастью, не работают. Более опасен второй бинарик, который dd_ssh, он представляет из себя брутфорсер удаленных машин.
This comment wasn’t rated yet0
UFO just landed and posted this here
4 месяца назад было исправление (в Debian), вот и результат…
This comment wasn’t rated yet0
да ломают уже давно им, расстраивает что в EPEL до сих пор старый пакет, надо руками что ли пересобрать
Total votes 2: ↑1 and ↓10
В Epel уже новый пакет, сегодня специально проверял:

yum -q info phpmyadmin
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 2.11.10
Release: 1.el5
Size: 12 M
Repo: installed
Summary: Web based MySQL browser written in php
URL: www.phpmyadmin.net/
License: GPLv2+
Description: phpMyAdmin is a tool written in PHP intended to handle the administration of
: MySQL over the Web. Currently it can create and drop databases,
: create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
: manage keys on fields, manage privileges,export data into various formats and
: is available in 50 languages
Total votes 2: ↑1 and ↓10
Вчера еще старый был вроде, хорошо, что обновили
This comment wasn’t rated yet0
Вот за это люблю Федору :)

Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 3.3.4
Release: 1.fc12
This comment wasn’t rated yet0
UFO just landed and posted this here
Ну там дырки постоянно, не понимаю зачем вешать его открыто. Два варианта защититься от его дырок
1) Не испльзовать phpmyadmin.
2) Закрыть его локейшен HTTP авторизацией.
Total votes 3: ↑3 and ↓0+3
я чуть ниже написал третий, еще более годный вариант ))
This comment wasn’t rated yet0
3) открывать phpmyadmin на адреса vpn и всего делов.
This comment wasn’t rated yet0
если приходится использовать phpMyadmin, то рекомендую открыть для себя персональные сертификаты для https )) и сделать сертификат пускающий к нему только тому кому оно реально нужно.
Total votes 1: ↑1 and ↓0+1
может быть вы и инструкцию для страждущих напишете? был бы вам премного благодарен
Total votes 1: ↑1 and ↓0+1
хм, да можно попробовать и инструкцию, если будет сегодня время, то постараюсь, если сегодня не будет, то может на днях…
This comment wasn’t rated yet0
а я как раз с нжинкс юзаю )) могу действительно набросать ))
This comment wasn’t rated yet0
набросайте, буду благодарен:)
This comment wasn’t rated yet0
для устранения угрозы достаточно просто аутентификации, хоть по логину/паролю. Но по сертификатам лучше, да.
Total votes 1: ↑1 and ↓0+1
я имел в виду HTTP-аутентификацию, а не аутентификацию самого приложения, ессно.
Total votes 1: ↑1 and ↓0+1
phpmyadmin (4:2.11.8.1-5+lenny4) stable-security; urgency=high

* Upload to stable to fix security issues.
* Unserialize called on untrusted data [CVE-2009-4605].
* Predictable temporary file names [CVE-2008-7252].
* May create tempdir with unsafe permissions [CVE-2008-7251].

— Thijs Kinkhorst <thijs@debian.org> Sat, 17 Apr 2010 13:55:41 +0200

Пофиксили ж еще в апреле, чего только в августе саппорт зашевелился?
Total votes 2: ↑2 and ↓0+2
Ранее ее никто не эксплуатировал, сейчас же повально через нее заливают всякую живность.
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
А пишут, что 3.x releases are not affected. Кому верить?
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
> кстати open_basedir не помогает?
>
phpmyadmin при установке из репозитория в своем файлике (в /etc/apache2/conf.d/) разрешает open_basedir писать в /tmp (оно ему нужно) и соответственно оттуда и запускается.
This comment wasn’t rated yet0
UFO just landed and posted this here
Я правильно понимаю, что если удалить setup.php, то уязвимости придёт конец?
Total votes 1: ↑1 and ↓0+1
Тоже мне эксплойт. Кто ж setup.php оставляет-то.
Total votes 3: ↑3 and ↓0+3
Можно удалить (переместить) весь каталог scripts.
Кроме того, некоторые панели, к примеру Parallels Plesk, не дают доступ к phpMyAdmin без аутентификации в панели.
Если phpMyAdmin используется редко, можно полностью исключать к нему доступ (например, переместить файлы phpMyAdmin). Боты любят лупится по его скриптам.
This comment wasn’t rated yet0
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Ну тут вроде и не говорили о браузерных альтернативах. Говорили вообще об альтернативах набиранию SQL-запросов в консоли.
This comment wasn’t rated yet0
UFO just landed and posted this here
Если /tmp смонтировано в noexec, то из /tmp никто ничего не запустит
Total votes 4: ↑2 and ↓20
часто заливают перл скрипт и запускают через perl /tmp/badscript.txt

от этого ноэкзек не спасет.
Total votes 2: ↑2 and ↓0+2
Вот поэтому мне нравится FreeBSD и ее база портов =) который обновляются практически мгновенно, как выходит новая версия чего-либо…
В портах уже phpMyAdmin 3.3.5, php 5.3.3 и т.д.
Total votes 3: ↑3 and ↓0+3
но без косяков нигде не бывает… обновил quagga до последней версии (из портов) — слетел OSPF (pr уже закоммичен)…
Откатится на пред версию нельзя. (я знаю что бекапить при апдейте нужно было, сам виноват)… но все же…
обновление мгновенное, но до неработающей версии :-(
This comment wasn’t rated yet0
Ну согласен =))) Вот недавно был было два косяка в портах… и все связанные с обновление PNG
После обновления версию, слетал php-gd, те при обработке png изображения с помощью php-gd, рhp падал… Первый косяк решился через 1 месяц, обновилась версия пхп в портах до 5.3.2 (пришлось часть скриптов на сайтах переписывать), второй косяк был также при обновлении PNG с 1.4.1 до 1.4.1_1 — решился через 1.5 месяца, обновлением пхп до 5.3.3

плюс: всегда свежий софт
минус: возникает нестабильность в совместимость

Каждый пусть выберет себе одно из двух… Я выбрал «плюс»
Total votes 1: ↑1 and ↓0+1
Возможно я неправ, но смысла обновлять кваггу без крайней нужды?
В последний раз, когда мне оно было надо, квагга не понимала ASN32. В остальном — ложить всю автономку на время обновления смысла не особо, имхо.
This comment wasn’t rated yet0
я так понял народ держит phpMyAdmin наружу без каких либо аутентификаций??
что то верится с трудом в такую безалаберность
This comment wasn’t rated yet0
Спасибо, сейчас поправлю!
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr