Взломан phpMyAdmin - все срочно обновляемся до 3.3.5

с конца 2009 года выжидали именно этого времени хитрые ботоводы)

Какой смысл сраться о дате репорта уязвимости? Это повод не обновляться и сидеть на протухшем ПО? :)

А может ли кто внятно пояснить суть уязвимости ? возможные последствия? че рута украсть могут?:)

Могут и не только рута. Типа че, если рута украсть не могут, то можно и не обновляться? Многие шеллы схлопотали на своих серверах.

Если на форуме на каждый запоздалый сплоит будет появляться тема, то нужно будет переименовывать раздел.

Дырке больше полугода, только сплоит попал в паблик.

И вдруг паника...

С чего? С того что прохлопали дыру?

То что пол года не обновляли phpmyadmin?

Дырка то черт знает когда закрыта была.

Не могут рута украсть. Но могут на шареде к соседу в директорию залезть. А у кого вообще не настроена безопасность - еще и дос/брут/спам устроить с машины.

А вообще баг апрельский (17 Apr 2010), мне кажется с тех пор уже каждый кто следит за своими серверами десять раз апнуться успел.

Проблемы могут быть только у тех, кто давно сдал в аренду дедик/VPS клиенту, а клиент сам за ним не следит.

Вот что точно могут:

    * CVE-2008-7251

      phpMyAdmin may create a temporary directory, if the configured directory does not exist yet, with insecure filesystem permissions.
    * CVE-2008-7252

      phpMyAdmin uses predictable filenames for temporary files, which may lead to a local denial of service attack or privilege escalation.
    * CVE-2009-4605

      The setup.php script shipped with phpMyAdmin may unserialize untrusted data, allowing for cross site request forgery.

Как простой смертный так и не понял, надо ли обновлять на сервере phpMyAdmin или нет....

Резюмирую - обновляться стоит, всем без исключения. Уязвимость старая, да, никто не спорит, но сейчас она начала ОЧЕНЬ массово эксплуатироваться и это повод для паники для всех, кому не безразличны своим клиенты / свои сервера.

Почему разводить панику? Те, кто следит - приняли. Другие (и их тысячи) - нет.

Лучше создать лишнюю тему и предупредить тех, кто не следит, чем потом опять жаловаться, что вокруг тысячи спамрелеев и брутфорс-ботов, не находите?

Чем больше будет открытой информации об уязвимостях, напоминаний, обсуждений - тем больше людей не поленится зайти на сервер и обновить софт, и тем меньше дырявых машин, рассылающих спам и прочую гадость.

Тока не тем, у кого шаред. Апать тюненый-перетюненый сервер - искры из глаз посыпятся. )))) Меня вон уже засрали в соседней теме за это.