Comments 66
Скорее всего речь идет об уязвимости, связанной с функцией unserialize. Информация об этой уязвимости появилась в листах еще в январе 2010 года:
phpmyadmin.net
securityfocus.com
Вкратце суть в том, что в файле setup.php существует ошибка, которая позволяет запихнуть в функцию unserialize непроверенные данные, которые могут повлечь взлом.
Уязвимы все версии до 2.11.10.
Рекомендации: обновиться до 2.11.10 или 3.0.0 и выше
На предмет каких-то новых уязвимостей в phpMyAdmin с тех пор тишина.
а достаточно будет сделать проще
вот так
locate setup.php | xargs -I '{}' rm '{}'
?
Всем клиентам пришло, мы еще вчера очень много подобных взломов зафиксировали, но разобрались в источнике только сегодня, сразу и сделали рассылку.
firstvds.ru, кстати, дня 2 назад в своем твиттере написали что «рекомендуем обновляться в связи с появлением эксплойта»
UFO landed and left these words here
UFO landed and left these words here
Они самые, но на наших VPS они, к счастью, не работают. Более опасен второй бинарик, который dd_ssh, он представляет из себя брутфорсер удаленных машин.
UFO landed and left these words here
да ломают уже давно им, расстраивает что в EPEL до сих пор старый пакет, надо руками что ли пересобрать
В Epel уже новый пакет, сегодня специально проверял:

yum -q info phpmyadmin
Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 2.11.10
Release: 1.el5
Size: 12 M
Repo: installed
Summary: Web based MySQL browser written in php
URL: www.phpmyadmin.net/
License: GPLv2+
Description: phpMyAdmin is a tool written in PHP intended to handle the administration of
: MySQL over the Web. Currently it can create and drop databases,
: create/drop/alter tables, delete/edit/add fields, execute any SQL statement,
: manage keys on fields, manage privileges,export data into various formats and
: is available in 50 languages
Вот за это люблю Федору :)

Installed Packages
Name: phpMyAdmin
Arch: noarch
Version: 3.3.4
Release: 1.fc12
UFO landed and left these words here
Ну там дырки постоянно, не понимаю зачем вешать его открыто. Два варианта защититься от его дырок
1) Не испльзовать phpmyadmin.
2) Закрыть его локейшен HTTP авторизацией.
если приходится использовать phpMyadmin, то рекомендую открыть для себя персональные сертификаты для https )) и сделать сертификат пускающий к нему только тому кому оно реально нужно.
может быть вы и инструкцию для страждущих напишете? был бы вам премного благодарен
хм, да можно попробовать и инструкцию, если будет сегодня время, то постараюсь, если сегодня не будет, то может на днях…
а я как раз с нжинкс юзаю )) могу действительно набросать ))
для устранения угрозы достаточно просто аутентификации, хоть по логину/паролю. Но по сертификатам лучше, да.
я имел в виду HTTP-аутентификацию, а не аутентификацию самого приложения, ессно.
phpmyadmin (4:2.11.8.1-5+lenny4) stable-security; urgency=high

* Upload to stable to fix security issues.
* Unserialize called on untrusted data [CVE-2009-4605].
* Predictable temporary file names [CVE-2008-7252].
* May create tempdir with unsafe permissions [CVE-2008-7251].

— Thijs Kinkhorst <thijs@debian.org> Sat, 17 Apr 2010 13:55:41 +0200

Пофиксили ж еще в апреле, чего только в августе саппорт зашевелился?
Ранее ее никто не эксплуатировал, сейчас же повально через нее заливают всякую живность.
«пока гром не грянет — мужик не перекрестится» — народная мудрость…
UFO landed and left these words here
UFO landed and left these words here
о хух
спасибо тебе apparmor (php запрещен доступ к файлам)

кстати open_basedir не помогает?
> кстати open_basedir не помогает?
>
phpmyadmin при установке из репозитория в своем файлике (в /etc/apache2/conf.d/) разрешает open_basedir писать в /tmp (оно ему нужно) и соответственно оттуда и запускается.
ну тогда как вариант — можно примаунтить /tmp отдельным разделом с опцией «noexec»
Я правильно понимаю, что если удалить setup.php, то уязвимости придёт конец?
Можно удалить (переместить) весь каталог scripts.
Кроме того, некоторые панели, к примеру Parallels Plesk, не дают доступ к phpMyAdmin без аутентификации в панели.
Если phpMyAdmin используется редко, можно полностью исключать к нему доступ (например, переместить файлы phpMyAdmin). Боты любят лупится по его скриптам.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
Ну тут вроде и не говорили о браузерных альтернативах. Говорили вообще об альтернативах набиранию SQL-запросов в консоли.
UFO landed and left these words here
часто заливают перл скрипт и запускают через perl /tmp/badscript.txt

от этого ноэкзек не спасет.
Вот поэтому мне нравится FreeBSD и ее база портов =) который обновляются практически мгновенно, как выходит новая версия чего-либо…
В портах уже phpMyAdmin 3.3.5, php 5.3.3 и т.д.
но без косяков нигде не бывает… обновил quagga до последней версии (из портов) — слетел OSPF (pr уже закоммичен)…
Откатится на пред версию нельзя. (я знаю что бекапить при апдейте нужно было, сам виноват)… но все же…
обновление мгновенное, но до неработающей версии :-(
Ну согласен =))) Вот недавно был было два косяка в портах… и все связанные с обновление PNG
После обновления версию, слетал php-gd, те при обработке png изображения с помощью php-gd, рhp падал… Первый косяк решился через 1 месяц, обновилась версия пхп в портах до 5.3.2 (пришлось часть скриптов на сайтах переписывать), второй косяк был также при обновлении PNG с 1.4.1 до 1.4.1_1 — решился через 1.5 месяца, обновлением пхп до 5.3.3

плюс: всегда свежий софт
минус: возникает нестабильность в совместимость

Каждый пусть выберет себе одно из двух… Я выбрал «плюс»
Возможно я неправ, но смысла обновлять кваггу без крайней нужды?
В последний раз, когда мне оно было надо, квагга не понимала ASN32. В остальном — ложить всю автономку на время обновления смысла не особо, имхо.
я так понял народ держит phpMyAdmin наружу без каких либо аутентификаций??
что то верится с трудом в такую безалаберность
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.