Faille phpmyadmin...

15 réponses

Auteur	Message
Akarys \| Membre Inscrit le : 19/01/2008	# Le 10/08/2010 à 14:02 Bonjour, Je viens de voir qu'OVH prépare en catastrophe une mise à jour de sa Release 2 impactée. OVH annonce aussi plus de 200 serveurs passé en Rescue depuis ce matin ! http://travaux.ovh.com/?do=details&id=4451 & http://travaux.ovh.com/?do=details&id=4452 Urgent de vérifier que vous êtes à jour et que l'accès à PhpMyAdmin est bien protégé... phpMyAdmin phpMyAdmin 3.1.1 .1 phpMyAdmin phpMyAdmin 2.11.9.5 Tout ce qui est en dessous est vulnérable Perso un "chmod 000 phpmyadmin" en attendant de voir...
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 10/08/2010 à 14:22 Ce qui m'étonne le plus c'est de voir dans la liste "26 serveurs debian50" et "7 serveurs debian50_64". La Debian est aussi impactée, ou bien les gens n'ont pas fait les mises à jour de sécu ? daevel : infogérance et conseil \|\| moi
cerise \| Gaël Modérateur Inscrit le : 31/10/2008	# Le 10/08/2010 à 14:33 phpMyAdmin - 2.11.8.1deb5+lenny4 serais-je vulnérable ?
cerise \| Gaël Modérateur Inscrit le : 31/10/2008	# Le 10/08/2010 à 14:48 ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ? Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ?
ddpetit \| Damien Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 15:05 Comment voit-on la version s'il vous plaît ? Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
schtroumpf \| Arnaud Modérateur Inscrit le : 05/04/2007	# Le 10/08/2010 à 15:13 Si tu es sous Debian et que tu l'as installé avec apt-get, tu tapes dans la console : aptitude show phpmyadmin Sinon, c'est marqué sur l'accueil de ton phpMyAdmin Arnaud Visoterra - Visoflora - Visorando
ddpetit \| Damien Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 15:21 Merci Akarys, mon PHPMyAdmin n'étant pas à jour (gentoo r2), j'ai fais comme toi : bloquer l'accès. Une autre petite question qui n'a rien à voir : comment recompile-t-on un paquet ? Exemple recompiler PHP avec une option supplémentaire ? (Message édité le 10-08-2010 à 15h32 par ddpetit) Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
Liliandev \| Lilian Membre Inscrit le : 06/03/2009	# Le 10/08/2010 à 15:44 @ddpetit : il faut utiliser emerge et mettre les options que tu veux avec un USE cf http://tuxtraining.com/2009/04/21/gentoo-tip-speci... Lilian \| High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 10/08/2010 à 15:48 euh la Gentoo release2 d'OVH a un patch permettant de faire la mise à jour normalement. De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH. daevel : infogérance et conseil \|\| moi
thomas33 \| Thomas Membre Inscrit le : 08/05/2007	# Le 10/08/2010 à 16:17 De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH. Je confirme. Et attention aux problèmes que cela peux provoquer.
ddpetit \| Damien Modérateur Inscrit le : 03/05/2006	# Le 10/08/2010 à 16:17 Yes, sauf que certaines fois c'est nécessaire, je sais que caaptuss m'avait aidé pour ajouter cURL à PHP, il fallait recompiler PHP. J'ai cependant toujours accès aux MAJ OVH Loccasion.com - Vente de voitures d'occasion - Mandataire Auto
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 10/08/2010 à 16:21 C'est quoi le bug exactement ? Si je suis le seul a avoir les acces, il y a un risque ? JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes
cerise \| Gaël Modérateur Inscrit le : 31/10/2008	# Le 10/08/2010 à 16:23 merci dob pour cette précision. Sinon, concernant l'attaque sur phpmyadmin, il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin En regardant les logs apache, c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin" sinon, je suis en train de tester une freebsd. Il semble que ce soit un petit peu plus secure que debian, d'après les infos que j'ai pu trouver
Akarys \| Thierry Membre Inscrit le : 19/01/2008	# Le 11/08/2010 à 06:58 cerise a dit : .. il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin Oui mais non ;) Pas toujours simple avec aptitude qui repasse derrière. Par contre les droits des répertoires oui, et pas exemple un "chmod 000 /var/www" et une redéfinition du répertoire par défaut de apache/nginx vers un endroit sécure, oui. cerise a dit : ... c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin" Vrai, mais 99% au moins sont sur des appels direct d'IP, sans nom de domaine. Perso je ne réponds plus à ceux qui m'appelle par mon IP (sauf monitoring OVH) : "return 444;" ;)
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 20/08/2010 à 15:39 J'ai tous mes phpmyadmin en https derriere un htpassword Ca limite les risques sur des failles importantes de ce type Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
krucial \| Jean Christophe Administrateur Inscrit le : 09/03/2005	# Le 21/08/2010 à 01:03 Je suis de moins en moins fan des devs open source. JC - Mes sites \| Affiliation devis travaux \| Cotes voitures anciennes

Auteur

Message

Inscrit le : 19/01/2008

# Le 10/08/2010 à 14:02

Bonjour,
Je viens de voir qu'OVH prépare en catastrophe une mise à jour de sa Release 2 impactée.
OVH annonce aussi plus de 200 serveurs passé en Rescue depuis ce matin !

http://travaux.ovh.com/?do=details&id=4451 & http://travaux.ovh.com/?do=details&id=4452

Urgent de vérifier que vous êtes à jour
et que l'accès à PhpMyAdmin est bien protégé...

phpMyAdmin phpMyAdmin 3.1.1 .1
phpMyAdmin phpMyAdmin 2.11.9.5
Tout ce qui est en dessous est vulnérable

Perso un "chmod 000 phpmyadmin" en attendant de voir...

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 10/08/2010 à 14:22

Ce qui m'étonne le plus c'est de voir dans la liste "26 serveurs debian50" et "7 serveurs debian50_64". La Debian est aussi impactée, ou bien les gens n'ont pas fait les mises à jour de sécu ?

daevel : infogérance et conseil || moi

cerise | Gaël
Modérateur

Inscrit le : 31/10/2008

# Le 10/08/2010 à 14:33

phpMyAdmin - 2.11.8.1deb5+lenny4

serais-je vulnérable ?

cerise | Gaël
Modérateur

Inscrit le : 31/10/2008

# Le 10/08/2010 à 14:48

ben oui, je fais toujours les MAJ avec apt-get. Donc tu veux dire que la version 2.11.8.1deb5+lenny4, c'est la dernière version à jour du paquet pour debian et que la version 3.1.1 .1 c'est quand tu fais l'installation depuis les sources ?

Dans ce cas, pourquoi ne pas donner les mêmes numéros de version ?

ddpetit | Damien
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 15:05

Comment voit-on la version s'il vous plaît ?

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

schtroumpf | Arnaud
Modérateur

Inscrit le : 05/04/2007

# Le 10/08/2010 à 15:13

Si tu es sous Debian et que tu l'as installé avec apt-get, tu tapes dans la console :
aptitude show phpmyadmin

Sinon, c'est marqué sur l'accueil de ton phpMyAdmin

Arnaud

Visoterra - Visoflora - Visorando

ddpetit | Damien
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 15:21

Merci Akarys, mon PHPMyAdmin n'étant pas à jour (gentoo r2), j'ai fais comme toi : bloquer l'accès.

Une autre petite question qui n'a rien à voir : comment recompile-t-on un paquet ? Exemple recompiler PHP avec une option supplémentaire ?

(Message édité le 10-08-2010 à 15h32 par ddpetit)

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

Liliandev | Lilian
Membre

Inscrit le : 06/03/2009

# Le 10/08/2010 à 15:44

@ddpetit : il faut utiliser emerge et mettre les options que tu veux avec un USE cf http://tuxtraining.com/2009/04/21/gentoo-tip-speci...

Lilian | High-Tech - Communauté Webmaster - Communauté Informatique - Comparateur de prix

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 10/08/2010 à 15:48

euh la Gentoo release2 d'OVH a un patch permettant de faire la mise à jour normalement.
De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH.

daevel : infogérance et conseil || moi

thomas33 | Thomas
Membre

Inscrit le : 08/05/2007

# Le 10/08/2010 à 16:17

De ce que j'ai compris si tu commences à jouer avec emerge tu "sors de la release", et il n'y a donc plus de maintenance OVH.

Je confirme. Et attention aux problèmes que cela peux provoquer.

ddpetit | Damien
Modérateur

Inscrit le : 03/05/2006

# Le 10/08/2010 à 16:17

Yes, sauf que certaines fois c'est nécessaire, je sais que caaptuss m'avait aidé pour ajouter cURL à PHP, il fallait recompiler PHP. J'ai cependant toujours accès aux MAJ OVH

Loccasion.com - Vente de voitures d'occasion - Mandataire Auto

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 10/08/2010 à 16:21

C'est quoi le bug exactement ? Si je suis le seul a avoir les acces, il y a un risque ?

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

cerise | Gaël
Modérateur

Inscrit le : 31/10/2008

# Le 10/08/2010 à 16:23

merci dob pour cette précision.

Sinon, concernant l'attaque sur phpmyadmin, il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin

En regardant les logs apache, c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin"

sinon, je suis en train de tester une freebsd. Il semble que ce soit un petit peu plus secure que debian, d'après les infos que j'ai pu trouver

Akarys | Thierry
Membre

Inscrit le : 19/01/2008

# Le 11/08/2010 à 06:58

cerise a dit :
.. il y a des trucs simples à mettre en place, comme utiliser un nom un peu exotique au lieu du chemin par défaut xxx/phpmyadmin

Oui mais non ;) Pas toujours simple avec aptitude qui repasse derrière. Par contre les droits des répertoires oui, et pas exemple un "chmod 000 /var/www" et une redéfinition du répertoire par défaut de apache/nginx vers un endroit sécure, oui.

cerise a dit :
... c'est dingue le nombre de tests qu'il peut y avoir sur mes sites avec une recherche de dossier "mysql", "phpbb", "wordpress", "admin" ou "phpmyadmin"

Vrai, mais 99% au moins sont sur des appels direct d'IP, sans nom de domaine. Perso je ne réponds plus à ceux qui m'appelle par mon IP (sauf monitoring OVH) : "return 444;" ;)

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 20/08/2010 à 15:39

J'ai tous mes phpmyadmin en https derriere un htpassword
Ca limite les risques sur des failles importantes de ce type

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

krucial | Jean Christophe
Administrateur

Inscrit le : 09/03/2005

# Le 21/08/2010 à 01:03

Je suis de moins en moins fan des devs open source.

JC - Mes sites | Affiliation devis travaux | Cotes voitures anciennes

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.