Identifiez-vous Devenir membre

Rechercher

Faille phpmyadmin...

18 réponses

Auteur	Message
Akarys Membre Inscrit le : 19/01/2008	# Le 10/08/2010 à 14:02 Bonjour, Je viens de voir qu'OVH prépare en catastrophe une mise à jour de sa Release 2 impactée. OVH annonce aussi plus de 200 serveurs passé en Rescue depuis ce matin ! http://travaux.ovh.com/?do=details&id=4451 & http://travaux.ovh.com/?do=details&id=4452 Urgent de vérifier que vous êtes à jour et que l'accès à PhpMyAdmin est bien protégé... phpMyAdmin phpMyAdmin 3.1.1 .1 phpMyAdmin phpMyAdmin 2.11.9.5 Tout ce qui est en dessous est vulnérable Perso un "chmod 000 phpmyadmin" en attendant de voir...
Bool Modérateur Inscrit le : 09/05/2005	# Le 10/08/2010 à 14:22 Ce qui m'étonne le plus c'est de voir dans la liste "26 serveurs debian50" et "7 serveurs debian50_64". La Debian est aussi impactée, ou bien les gens n'ont pas fait les mises à jour de sécu ? Google is watching you.
cerise Membre Inscrit le : 31/10/2008	# Le 10/08/2010 à 14:33 phpMyAdmin - 2.11.8.1deb5+lenny4 serais-je vulnérable ? CeriseClub
dob Modérateur Inscrit le : 10/05/2005	# Le 10/08/2010 à 14:41 Si tu fais les màj via apt-get/aptitude les bugfix sont inclus (d'où la version "deb5+lenny4") Julien Tartarin Founder & CEO @ Mailjet.com
cerise Membre Inscrit le : 31/10/2008	# Le 10/08/2010 à 14:48 ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ? Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ? CeriseClub
ddpetit Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 15:05 Comment voit-on la version s'il vous plaît ? Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
schtroumpf Membre Inscrit le : 05/04/2007	# Le 10/08/2010 à 15:13 Si tu es sous Debian et que tu l'as installé avec apt-get, tu tapes dans la console : aptitude show phpmyadmin Sinon, c'est marqué sur l'accueil de ton phpMyAdmin Arnaud Visoterra - Visoflora - Objectif Suède
ddpetit Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 15:21 Merci Akarys, mon PHPMyAdmin n'étant pas à jour (gentoo r2), j'ai fais comme toi : bloquer l'accès. Une autre petite question qui n'a rien à voir : comment recompile-t-on un paquet ? Exemple recompiler PHP avec une option supplémentaire ? (Message édité le 10-08-2010 à 15h32 par ddpetit) Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
dob Modérateur Inscrit le : 10/05/2005	# Le 10/08/2010 à 15:34 cerise a dit : ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ? Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ? Non attention, 2.11.8.1deb5+lenny4 c'est une 2.11.8.1 au niveau des features, mais avec tous les patchs de sécurité qui sont sortis depuis. (Les patchs sont implémentés par la team Debian, et ça devient une version parallèle) Julien Tartarin Founder & CEO @ Mailjet.com
Liliandev Membre Inscrit le : 06/03/2009	# Le 10/08/2010 à 15:44 @ddpetit : il faut utiliser emerge et mettre les options que tu veux avec un USE cf http://tuxtraining.com/2009/04/21/gentoo-tip-speci... Lilian \| High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix
Bool Modérateur Inscrit le : 09/05/2005	# Le 10/08/2010 à 15:48 euh la Gentoo release2 d'OVH a un patch permettant de faire la mise à jour normalement. De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH. Google is watching you.
thomas33 Membre Inscrit le : 08/05/2007	# Le 10/08/2010 à 16:17 De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH. Je confirme. Et attention aux problèmes que cela peux provoquer.
ddpetit Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 16:17 Yes, sauf que certaines fois c'est nécessaire, je sais que caaptuss m'avait aidé pour ajouter cURL à PHP, il fallait recompiler PHP. J'ai cependant toujours accès aux MAJ OVH Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
krucial Administrateur Inscrit le : 09/03/2005	# Le 10/08/2010 à 16:21 C'est quoi le bug exactement ? Si je suis le seul a avoir les acces, il y a un risque ? JC - Mes sites \| Affiliation devis travaux
cerise Membre Inscrit le : 31/10/2008	# Le 10/08/2010 à 16:23 merci dob pour cette précision. Sinon, concernant l'attaque sur phpmyadmin, il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin En regardant les logs apache, c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin" sinon, je suis en train de tester une freebsd. Il semble que ce soit un petit peu plus secure que debian, d'après les infos que j'ai pu trouver CeriseClub
Akarys Membre Inscrit le : 19/01/2008	# Le 11/08/2010 à 06:58 cerise a dit : .. il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin Oui mais non ;) Pas toujours simple avec aptitude qui repasse derrière. Par contre les droits des répertoires oui, et pas exemple un "chmod 000 /var/www" et une redéfinition du répertoire par défaut de apache/nginx vers un endroit sécure, oui. cerise a dit : ... c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin" Vrai, mais 99% au moins sont sur des appels direct d'IP, sans nom de domaine. Perso je ne réponds plus à ceux qui m'appelle par mon IP (sauf monitoring OVH) : "return 444;" ;)
dob Modérateur Inscrit le : 10/05/2005	# Le 20/08/2010 à 15:33 Up juste au cas où vous auriez mis à jour vos PMA à la suite de ces news, même pour les 2.x, il faut encore mettre à jour 2.11.10.1 & 3.3.5.1 fix notamment du XSS (et une faille dans /setup/, si vous ne deletez pas ce dossier à chaque fois ^^) Julien Tartarin Founder & CEO @ Mailjet.com
devtribu Modérateur Inscrit le : 16/06/2005	# Le 20/08/2010 à 15:39 J'ai tous mes phpmyadmin en https derriere un htpassword Ca limite les risques sur des failles importantes de ce type http://www.toutjavascript.com/guidecomplet : Déjà la 6eme édition
krucial Administrateur Inscrit le : 09/03/2005	# Le 21/08/2010 à 01:03 Je suis de moins en moins fan des devs open source. JC - Mes sites \| Affiliation devis travaux

Auteur

Message

Akarys
Membre

Inscrit le : 19/01/2008

# Le 10/08/2010 à 14:02

Bonjour,
Je viens de voir qu'OVH prépare en catastrophe une mise à jour de sa Release 2 impactée.
OVH annonce aussi plus de 200 serveurs passé en Rescue depuis ce matin !

http://travaux.ovh.com/?do=details&id=4451 & http://travaux.ovh.com/?do=details&id=4452

Urgent de vérifier que vous êtes à jour
et que l'accès à PhpMyAdmin est bien protégé...

phpMyAdmin phpMyAdmin 3.1.1 .1
phpMyAdmin phpMyAdmin 2.11.9.5
Tout ce qui est en dessous est vulnérable

Perso un "chmod 000 phpmyadmin" en attendant de voir...

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 10/08/2010 à 14:22

Ce qui m'étonne le plus c'est de voir dans la liste "26 serveurs debian50" et "7 serveurs debian50_64". La Debian est aussi impactée, ou bien les gens n'ont pas fait les mises à jour de sécu ?

Google is watching you.

cerise
Membre

Inscrit le : 31/10/2008

# Le 10/08/2010 à 14:33

phpMyAdmin - 2.11.8.1deb5+lenny4

serais-je vulnérable ?

CeriseClub

dob
Modérateur

Inscrit le : 10/05/2005

# Le 10/08/2010 à 14:41

Si tu fais les màj via apt-get/aptitude les bugfix sont inclus (d'où la version "deb5+lenny4")

Julien Tartarin
Founder & CEO @ Mailjet.com

cerise
Membre

Inscrit le : 31/10/2008

# Le 10/08/2010 à 14:48

ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ?

Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ?

CeriseClub

ddpetit
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 15:05

Comment voit-on la version s'il vous plaît ?

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

schtroumpf
Membre

Inscrit le : 05/04/2007

# Le 10/08/2010 à 15:13

Si tu es sous Debian et que tu l'as installé avec apt-get, tu tapes dans la console :
aptitude show phpmyadmin

Sinon, c'est marqué sur l'accueil de ton phpMyAdmin

Arnaud

Visoterra - Visoflora - Objectif Suède

ddpetit
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 15:21

Merci Akarys, mon PHPMyAdmin n'étant pas à jour (gentoo r2), j'ai fais comme toi : bloquer l'accès.

Une autre petite question qui n'a rien à voir : comment recompile-t-on un paquet ? Exemple recompiler PHP avec une option supplémentaire ?

(Message édité le 10-08-2010 à 15h32 par ddpetit)

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

dob
Modérateur

Inscrit le : 10/05/2005

# Le 10/08/2010 à 15:34

cerise a dit :
ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ?

Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ?

Non attention, 2.11.8.1deb5+lenny4 c'est une 2.11.8.1 au niveau des features, mais avec tous les patchs de sécurité qui sont sortis depuis. (Les patchs sont implémentés par la team Debian, et ça devient une version parallèle)

Julien Tartarin
Founder & CEO @ Mailjet.com

Liliandev
Membre

Inscrit le : 06/03/2009

# Le 10/08/2010 à 15:44

@ddpetit : il faut utiliser emerge et mettre les options que tu veux avec un USE cf http://tuxtraining.com/2009/04/21/gentoo-tip-speci...

Lilian | High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Bool
Modérateur

Inscrit le : 09/05/2005

# Le 10/08/2010 à 15:48

euh la Gentoo release2 d'OVH a un patch permettant de faire la mise à jour normalement.
De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH.

Google is watching you.

thomas33
Membre

Inscrit le : 08/05/2007

# Le 10/08/2010 à 16:17

De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH.

Je confirme. Et attention aux problèmes que cela peux provoquer.

ddpetit
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 16:17

Yes, sauf que certaines fois c'est nécessaire, je sais que caaptuss m'avait aidé pour ajouter cURL à PHP, il fallait recompiler PHP. J'ai cependant toujours accès aux MAJ OVH

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

krucial
Administrateur

Inscrit le : 09/03/2005

# Le 10/08/2010 à 16:21

C'est quoi le bug exactement ? Si je suis le seul a avoir les acces, il y a un risque ?

JC - Mes sites | Affiliation devis travaux

cerise
Membre

Inscrit le : 31/10/2008

# Le 10/08/2010 à 16:23

merci dob pour cette précision.

Sinon, concernant l'attaque sur phpmyadmin, il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin

En regardant les logs apache, c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin"

sinon, je suis en train de tester une freebsd. Il semble que ce soit un petit peu plus secure que debian, d'après les infos que j'ai pu trouver

CeriseClub

Akarys
Membre

Inscrit le : 19/01/2008

# Le 11/08/2010 à 06:58

cerise a dit :
.. il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin

Oui mais non ;) Pas toujours simple avec aptitude qui repasse derrière. Par contre les droits des répertoires oui, et pas exemple un "chmod 000 /var/www" et une redéfinition du répertoire par défaut de apache/nginx vers un endroit sécure, oui.

cerise a dit :
... c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin"

Vrai, mais 99% au moins sont sur des appels direct d'IP, sans nom de domaine. Perso je ne réponds plus à ceux qui m'appelle par mon IP (sauf monitoring OVH) : "return 444;" ;)

dob
Modérateur

Inscrit le : 10/05/2005

# Le 20/08/2010 à 15:33

Up juste au cas où vous auriez mis à jour vos PMA à la suite de ces news, même pour les 2.x, il faut encore mettre à jour

2.11.10.1 & 3.3.5.1 fix notamment du XSS (et une faille dans /setup/, si vous ne deletez pas ce dossier à chaque fois ^^)

Julien Tartarin
Founder & CEO @ Mailjet.com

devtribu
Modérateur

Inscrit le : 16/06/2005

# Le 20/08/2010 à 15:39

J'ai tous mes phpmyadmin en https derriere un htpassword
Ca limite les risques sur des failles importantes de ce type

http://www.toutjavascript.com/guidecomplet : Déjà la 6eme édition

krucial
Administrateur

Inscrit le : 09/03/2005

# Le 21/08/2010 à 01:03

Je suis de moins en moins fan des devs open source.

JC - Mes sites | Affiliation devis travaux

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.