Sicherheitslücke in phpmyadmin - Printable Version +- ispCP - Board - Support (http://www.isp-control.net/forum) +-- Forum: ispCP Omega International Area (/forum-22.html) +--- Forum: German Corner (/forum-26.html) +--- Thread: Sicherheitslücke in phpmyadmin (/thread-11369.html) |
Sicherheitslücke in phpmyadmin - rethus - 08-11-2010 10:48 PM Hallo, vorab würde ich vorschlagen, dass hier im Forum direktverlinkungen zu entsprechenden Security-Feeds von Softwarekomponenten erstellt werden, die unter ispcp einsatz finden (wie z.B. phpmyadmin, squirelmail usw.) Hier der erste: http://www.phpmyadmin.net/home_page/security/PMASA-2010-3.php Übrigens, der aktuelle Exploit ist vom 9.8.2010, so frisch, dasser nicht mal auf der Security-Page von phpmyadmin steht... Zum anderen wurde ich auf ein Sicherheitsloch im phpmyadmin aufmerksam gemacht Deutsch: http://www.xing.com/net/sicherheit/application-layer-bio-crypto-pen-voip-uce-was-19413/achtung-es-gibt-ein-exploit-fur-phpmyadmin-31744107/31744107/ Weitere Artikel darüber: http://netblog.aegaeon.ca/tag/dd_ssh/ 1) Meine Empfehlung: Grundsätzlich erstmal für jeden User die Installation von phpmyadmin unterbinden (Cronjob, welcher phpmyadmin-Verzeichnisse löscht) 2) Hatte ich hier schonmal vorgeschlagen worden und wurde belächelt... aber ich schalg es immer wieder gerne vor: ispcp-Bereich via .htaccess schützen, damit Angreifer gar nicht erst bis zu verwundbarer Software vordringen können! PS: Ich hab im pma/scripts/ verzeichnis ne upgrade.pl gefunden. Wie kann man hier phpmyadmin entsprechend auf den neusten Stand bringen? Gibts dazu schon ein wiki-artikel? |