+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: Sicherheitslücke in phpmyadmin (/thread-11369.html)
Sicherheitslücke in phpmyadmin - rethus - 08-11-2010 10:48 PM
Hallo,
vorab würde ich vorschlagen, dass hier im Forum direktverlinkungen zu entsprechenden Security-Feeds von Softwarekomponenten erstellt werden, die unter ispcp einsatz finden (wie z.B. phpmyadmin, squirelmail usw.)
Hier der erste: http://www.phpmyadmin.net/home_page/security/PMASA-2010-3.php
Übrigens, der aktuelle Exploit ist vom 9.8.2010, so frisch, dasser nicht mal auf der Security-Page von phpmyadmin steht...
Zum anderen wurde ich auf ein Sicherheitsloch im phpmyadmin aufmerksam gemacht
Deutsch: http://www.xing.com/net/sicherheit/application-layer-bio-crypto-pen-voip-uce-was-19413/achtung-es-gibt-ein-exploit-fur-phpmyadmin-31744107/31744107/
Weitere Artikel darüber:
http://netblog.aegaeon.ca/tag/dd_ssh/
1)
Meine Empfehlung: Grundsätzlich erstmal für jeden User die Installation von phpmyadmin unterbinden (Cronjob, welcher phpmyadmin-Verzeichnisse löscht)
2) Hatte ich hier schonmal vorgeschlagen worden und wurde belächelt... aber ich schalg es immer wieder gerne vor:
ispcp-Bereich via .htaccess schützen, damit Angreifer gar nicht erst bis zu verwundbarer Software vordringen können!
PS: Ich hab im pma/scripts/ verzeichnis ne upgrade.pl gefunden. Wie kann man hier phpmyadmin entsprechend auf den neusten Stand bringen? Gibts dazu schon ein wiki-artikel?