yandex

Обновление phpMyAdmin, проблемы с безопасностью

Author:

Уже практически неделю буйствует эпидемия среди серверов на базе Linux, вызванная проблемой с безопасностью в phpMyAdmin, о которой можно прочесть в разделе Debian Security Advisory на официальном сайте Debian. Обратите внимание на дату, когда данная проблема была найдена.

Данная проблема была устранена в phpMyAdmin версиях 2.11.8.1-5+lenny4 (для стабильной ветки lenny) и в  3.2.4-1 (для нестабильной ветки sid). Разработчики настоятельно советуют обновиться.

Злоумышленники используют данную уязвимость для помещения на сервер файлов /tmp/vm.c и /tmp/dd_ssh, которые потом используют для своих темных делишек. Если вы нашли у себя эти файлы – поздравляю! 😉

Итак, ваши действия независимо от того, нашли вы у себя эти файлы или нет:

1. если у вас Debian Linux:

  • apt-get update;
  • apt-get upgrade -y phpmyadmin;

После обновления возможно появление следующей ошибки при авторизации в phpmyadmin:
При cookie-аутентификации, в конфигурационном файле необходимо задать парольную фразу установив значение директивы $cfg[‘blowfish_secret’]

В случае, если вы используете VDS с панелью управления ISPmanager (к примеру на FirstVDS), то для того, чтобы исправить это, следует зайти в ISPmanager -> настройки сервера -> возможности
Выбрать в списке phpmyadmin и выключить, а потом включить его.

Либо в файл /etc/phpmyadmin/config.inc.php написать следующее:

$cfg[‘blowfish_secret’]    =’Набор_символов’;

 

2. Если у вас Centos:
Подключите сторонний репозиторий командой:

  • rpm -Uvh https://web.archive.org/web/20120105145938/http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm

И после этого обновите phpmyadmin:

  • yum upgrade -y phpmyadmin

Приятной работы =)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *