Обновление phpMyAdmin, проблемы с безопасностью

Уже практически неделю буйствует эпидемия среди серверов на базе Linux, вызванная проблемой с безопасностью в phpMyAdmin, о которой можно прочесть в разделе Debian Security Advisory на официальном сайте Debian. Обратите внимание на дату, когда данная проблема была найдена.

Данная проблема была устранена в phpMyAdmin версиях 2.11.8.1-5+lenny4 (для стабильной ветки lenny) и в  3.2.4-1 (для нестабильной ветки sid). Разработчики настоятельно советуют обновиться.

Злоумышленники используют данную уязвимость для помещения на сервер файлов /tmp/vm.c и /tmp/dd_ssh, которые потом используют для своих темных делишек. Если вы нашли у себя эти файлы — поздравляю! ;-)

Итак, ваши действия независимо от того, нашли вы у себя эти файлы или нет:

1. если у вас Debian Linux:

  • apt-get update;
  • apt-get upgrade -y phpmyadmin;

После обновления возможно появление следующей ошибки при авторизации в phpmyadmin:
При cookie-аутентификации, в конфигурационном файле необходимо задать парольную фразу установив значение директивы $cfg[‘blowfish_secret’]

В случае, если вы используете VDS с панелью управления ISPmanager (к примеру на FirstVDS), то для того, чтобы исправить это, следует зайти в ISPmanager -> настройки сервера -> возможности
Выбрать в списке phpmyadmin и выключить, а потом включить его.

Либо в файл /etc/phpmyadmin/config.inc.php написать следующее:

$cfg[‘blowfish_secret’]    =’Набор_символов’;

 

2. Если у вас Centos:
Подключите сторонний репозиторий командой:

  • rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm

И после этого обновите phpmyadmin:

  • yum upgrade -y phpmyadmin

Приятной работы =)

Другие публикации по теме:

Менеджер виртуализации Proxmox. Кеш диска виртуаль... Нижепредставленная информация базируется на показателях, которые были измерены на виртуальных дисках в формате raw. Показатели на других форматах буду...
Конфигуратор файла репозитория для MariaDB... Случайно наткнулся на удобный конфигуратор от разработчиков форка MySQL, который позволяет создать файл под все популярные дистрибутивы и версии Linux...
Как настроить журналируемую квоту на Debian Lenny... Автор: Falko Timme Это руководство научит вас настраивать журналируемую квоту на системе Debian Lenny. Благодаря журналируе...
Не работает sshd — /dev/null is not a charac... Сегодня натолкнулся на проблему с невозможностью запуска sshd под Debian 6.0 (OpenVZ). /etc/init.d/ssh start /dev/null is not a character device! К...

Поделиться информацией с друзьями!

Чтобы не пропустить обновления, подпишись на RSS или почтовую рассылку (свой выбор сделали уже 128 человек!)

Оставить комментарий