Критическая уязвимость в расширении ISPManager "mysqldumpupload"

12
Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
2400

Всем, у кого клиенты имеют доступ к этому расширению настоятельно рекомендую его выключить до исправления проблемы. В случае эксплуатации уязвимости возможно выполнение любых команд с root привилегиями.

Отключать так - настройка сервера, расширения, выбираем mysqldumpupload 1.3 и нажимаем синюю лампочку на панели справа.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
VO
На сайте с 27.07.2008
Offline
127
#1

Зачем об этом тут написали ?

Даже, если это так, от этого может быть больше вреда, чем пользы.

К тому же, "ISPmanager 4.3.43. Ожидается — 17.05.2010"

Уже бы до понедельника подождали, у большинства обновится автоматически.

Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
#2
V(o)ViK:
Зачем об этом тут написали ?
Даже, если это так, от этого может быть больше вреда, чем пользы.
К тому же, "ISPmanager 4.3.43. Ожидается — 17.05.2010"
Уже бы до понедельника подождали, у большинства обновится автоматически.

Модули не обновляются вместе с ISP (да и вообще они автоматически не обновляются, как я понимаю - только вручную, так что без уведомления никак не обойтись, даже при всем моем желании). Разработчики о проблеме уже в курсе, но когда исправят - я понятия не имею. Вероятность, что более баг никто не нашел - почти нулевая.

R
На сайте с 24.01.2008
Offline
180
Rxp
#3

mysqldumpupload - что этот модуль делает? чем опасно выключения?

Удаление вирусов с сайта, защита сайта, Гарантия! (/ru/forum/999073) -> топик на маулталк (http://www.maultalk.com/topic113834s0.html) -> Топик в сапе (http://forum.sape.ru/showthread.php?t=79363)
Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
#4
Rxp:
mysqldumpupload - что этот модуль делает? чем опасно выключения?

Импорт дампов баз без phpmyadmin. Опасно взломом сервера.

RAS
На сайте с 27.11.2005
Offline
126
RAS
#5

не думаю, что это часто кто-то включает, все очень привыкли в phpmyadmin.

Администрируем сервера, впс, вдс. Ускоряем загрузку сайтов - DLE, Word Press, Joomla, Modx... Настраиваем безопасность. Ручная чистка rootkit/malware/вирусов. (/ru/forum/867860) Разработка - shell/bash/sh/python/perl.
VO
На сайте с 27.07.2008
Offline
127
#6
Rxp:
mysqldumpupload - что этот модуль делает? чем опасно выключения?

Он по умолчанию выключен.

Pavel.Odintsov:
Модули не обновляются вместе с ISP (да и вообще они автоматически не обновляются, как я понимаю - только вручную, так что без уведомления никак не обойтись, даже при всем моем желании). Разработчики о проблеме уже в курсе, но когда исправят - я понятия не имею. Вероятность, что более баг никто не нашел - почти нулевая.

Ну если они в курсе проблемы, его можно запихнуть в пакет обновления, либо вывести notice как было со старыми темами или принудительно выключить.

Вероятность, что сейчас баг будут искать те, кто до сих пор даже не знал об этом модуле, выросла во много раз.

P
На сайте с 08.03.2007
Offline
250
#7

баги есть во всех модулях.

Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
#8
Pilat:
баги есть во всех модулях.

Ну почему :) Некоторые модули не принимают данные от пользователя, это их спасает :)

Pavel.Odintsov добавил 16.05.2010 в 21:19

V(o)ViK:

Ну если они в курсе проблемы, его можно запихнуть в пакет обновления, либо вывести notice как было со старыми темами или принудительно выключить.
Вероятность, что сейчас баг будут искать те, кто до сих пор даже не знал об этом модуле, выросла во много раз.

Это мог сделать любой и заранее (тем более, код открыт). Предупрежден - значит вооружен. А что кому делать, пусть решает сам. Но жить хм, с троянским конем в системе не лучший вариант даже до апдейта.

Raistlin
На сайте с 01.02.2010
Offline
247
#9
Pavel.Odintsov:
более баг никто не нашел - почти нулевая.

Нулевая. Я вчера разбирался, почему оно у меня не работало... Разобрался - отключил :-D.

HostAce - Асы в своем деле (http://hostace.ru)
Himiko
На сайте с 28.08.2008
Offline
549
#10

Уже обновился компонент до 1.4

Профессиональное администрирование серверов (https://systemintegra.ru). Круглосуточно. Отзывы (/ru/forum/834230) Лицензии (http://clck.ru/Qhf5) ISPManager,VDSManager,Billmanager e.t.c. по низким ценам.
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий