"Komoly sebezhetőség a phpMyAdmin-ban"

 ( trey | 2008. szeptember 18., csütörtök - 9:23 )

phpMyAdmin-t üzemeltetőknek érdemes figyelmet fordítani a stuffra, mert kiderült, hogy a népszerű MySQL matató eszköz összes verziója olyan sebezhetőségben szenved, amelyet rosszindulatú támadónak kódfuttatására adhat lehetőséget. A phpMyAdmin fejlesztők a hibát súlyosnak ítélik és javasolják a mielőbbi frissítést a nemrég kiadott 2.11.9.1-es vagy 3.0.0-rc2-es verziók valamelyikére. A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Bár nem használok phpadmint, azért próbálkoztak.

85.17.222.142 - - [16/Sep/2008:11:43:32 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 313 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:32 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 313 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:33 +0200] "GET /db/main.php HTTP/1.0" 404 305 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:33 +0200] "GET /web/main.php HTTP/1.0" 404 306 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:33 +0200] "GET /PMA/main.php HTTP/1.0" 404 306 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:33 +0200] "GET /dbadmin/main.php HTTP/1.0" 404 310 "-" "-"
85.17.222.142 - - [16/Sep/2008:11:43:33 +0200] "GET /PMA2006/main.php HTTP/1.0" 404 310 "-" "-"

[...]

Ahhoz hogy ki tudja hasznalni valaki ezt ahhoz elobb be is kell lepnie egy ervenyes usernevvel

Arra meg ott van a dictionary attack. :) Első körben nyilván megnézik van-e hova loginolni.

ha ilyen userjeid vannak, akkro tokmind1 van e sebezhetoseg valamiben vagy nincs

Az mar csak ido kerdese, ha az app megvan.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

minden csak ido kerdese, fel lehet torni barmilyen titkositast jelenleg is, csak ido kerdese :) kerdes hogy kivarod e a parmillio evet :)

ajanlani tudom a "test" nevu accot ;)

synapse

--------------------------
The OOM killer is like a surgeon that amputates the limb of a man to save his life: losing a limb is not a nice thing, but sometimes there is nothing better to do.

"Understanding the Linux Kernel" on page frame reclaiming

Miért nem postolod be rögtön az egész havi access logot?

+1

En akartam, becsszo, de a post elkuldesekor egyszeruen csak vart csak vart ... Trey igazan lehetoseget adhatnal tobbszaz megas post-okra is.

Akarom...


-- "Bízzál Istenben és tartsd szárazon a puskaport!" - Cromwell --
-- Sayusi Ando - http://sayusi.hu --

Már adott.

"Bunkóvagy!!!444 Mindenkinek joga van teleszemetelni hülyeségekkel az oldalt!" ;)

hasznal valaki eles szerveren phpmyadmint?

Sajnos vannak, ahol igen.

Szerencsére saját dolgaimnál fix IP-re tudom korlátozni magamnak, így nem kell php*admin szutykokkal szenvednem.

Legtöbb webhosting cégecske.

hát ahol nem adnak mysql shellt (ez elég gyakori) ott más alternatíváról nem tudok.

Esetleg kapcsolódni a mysql porthoz? Akkor otthon akár futtathatsz phpmyadmin-t vagy mysql-query-browser-t, vagy amit akarsz :)

es kinyitni a vilag fele a mysql portot az meg oke? de phpmyadmin az nem :)

Hát, nyilván nem direktben. Mondjuk belső CA által kiadott tanusítványokkal védett ssl csatornába csomagolva. Szerintem rendes ember a PHPMyAdmin-t is csak így teszi elérhetővé. Az SQL promptot meg ssh kulccsal. Akkor mi a különbség?

igen :(
mivel a weboldalt fejleszto kulso ceg igenyli.
meg mindig jobb mint ssh-t adni nekik...

ja es .htaccess-el jelszoval van vedve, es nem test/test az acc.

A'rpi

igen, de ha van jobb ötleted, jöhet. egyszerűen olyan url-re kell tenni, ami nem egyértelmű. bár ahogy kiderül egy sebezhetőség x programban, mindig megkérdezi valaki, hogy éles környezetben használ-e valaki x programot. egy ideig mondjuk szórakoztató, aztán már az ismétlődés unalmassá teszi.

nem szorakoztatas miatt kerdeztem, hanem kivancsi voltam milyen kornyezetben fordulhat ilyesmi elo.

Kicsit off kerdes: szerveren berakom virtualhostba olyan domainnev ala, ami nincs regisztralva. A kulso gepen meg a domainnevet felveszem hosts-ba. Idegen ember meg tudna igy talalni, foleg, ha ssh-n ernem el?

Le lehet hallgatni a forgalmat a te geped es a vhost kozott? Btw. erdemes IP-cimre is korlatozni az elerest + SSL-re tenni az a vhost-ot.

SPAMtelenul - POP3 spamszuro szolgaltatas

ofkorsz ssl-t akartam irni:-) szoval azzal meg lehalgatni sem egyszru. ip cimre macerasabb, mert az ugye valtozik. bar ha csinal az ember egy vpn-t a szerverre, es az admin dolgokat csak azon keresztul engedi elerni, az meg jobb lehet...humm

Azert az ssl-es sztori sem csak ennyi. Mert altalaban egy IP-cimre egy ssl site-ot tesznek. Ha pedig amugy nem hasznalsz mas celra ssl-t, akkor xy beirja, hogy https://sitenev/, es voila! egybol bejon a titkos nevu site, es mehet a brute force. Szoval meg egy captcha-t is jo a login melle tenni.

SPAMtelenul - POP3 spamszuro szolgaltatas

nem-e vagy te kicsit paranoias-e?

Ahogy az ubuntu konferencian az egyik eloado mondta: "en nem vagyok paranoias, engem tenyleg uldoznek" :-)

SPAMtelenul - POP3 spamszuro szolgaltatas

Egy ip-re egy ssl lehet beloni normal esetben, de attol meg a szerver masik hostot is kiszolgalja azzal a cert-tel, csak a kliens sirni fog, hogy nem igazan osszetartozo a ketto. A siteven meg mar kodolva megy at, innentol eleg nehez a semmibol egy idegennek eltalalni a cimet, foleg, hogy meg be is kell irja a sajat hosts-jaba blabla...
Nem jol gondolom?

Mondjuk...

SPAMtelenul - POP3 spamszuro szolgaltatas

wildcard cert?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Iszonyat draga, ez az egyetlen gond vele :).
Amugy meg olyan oldalra, ahol az olyan dolgok vannak amik elmeletileg csak szamodra vannak az uzemeltetes megkonnyiteshez, mi a lopikulanak alairt ssl tanusitvany?
Ja igen en is hasznalok phpmyadmin-t, igazabol szuksegesnek erzem, mert olyan dolgot ami cli-bol 5 perc lenne megcsinalni ezalatt olyan jo fel perc (es ez nem mind1, mikor egy ugyfel sir).

VPN-ben. Az eleg megbizhato, nem? (csak kerdezem, tenyleg nem tudom)

És már itt is a 2.11.9.2.