- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Тут на сколько я понимаю суть проблемы в другом, используя данную "проблему" в phpmyadmin можно попытаться откомпилить например експлоид какой-то который в последствии применить локально для повышения привилегий. Но сама по себе "проблема" представляет из себя очередную брешь в установленном ПО которого и по мимо phpmyadmin навалом на хостинг серверах, сервера частного пользования - согласен, обновить в этом плане стоит, не то что бы на хостингах не надо, просто кажется что проблема не сильно актуальна, или я ошибаюсь? Другими словами для злоумышленника не составит большого труда поискать сайты на каком-то ИП и подергать их на предмет версий, известных глюков и тому подобное (что бы залить шелл , или выполнить что-то) мне кажется в этом ПО опасность гораздо выше ;) В общем основа всех основ это локальная политика :)
С движками все намного сложнее, их нужно искать, их куча версий, куча сборок и прочего. А phpmyadmin стоит у каждого второго, отсюда и отстрел машин идет почти без исключений.
Тут на сколько я понимаю суть проблемы в другом, используя данную "проблему" в phpmyadmin можно попытаться откомпилить например експлоид какой-то который в последствии применить локально для повышения привилегий. Но сама по себе "проблема" представляет из себя очередную брешь в установленном ПО которого и по мимо phpmyadmin навалом на хостинг серверах, сервера частного пользования - согласен, обновить в этом плане стоит, не то что бы на хостингах не надо, просто кажется что проблема не сильно актуальна, или я ошибаюсь? Другими словами для злоумышленника не составит большого труда поискать сайты на каком-то ИП и подергать их на предмет версий, известных глюков и тому подобное (что бы залить шелл , или выполнить что-то) мне кажется в этом ПО опасность гораздо выше ;) В общем основа всех основ это локальная политика :)
PMA это все же PMA - часть системного софта. Если кто-то найдет дыру в скрипте пользователя и почистит его ~ - виноват только юзер и вред имеет только юзер. А успешное вскрытие PMA (-> получение привилегий юзера, от имени которого работает РМА) дает достаточно широкий простор для творчества. То, что пока замечен только dd_ssh - не значит, что нельзя придумать и что-то интереснее. Например измененный login.php PMA, который будет воровать пароли пользователей от БД, а то и вовсе залить 0day руткит, если такой появится...
Ну и ответственность за это (в отличие от скриптов пользователя) несет таки хостер.
Выходит как я и предполагал, ничего военного очередная дырка в софте который может быть у каждого клиента свой... Я думаю что какой-то phpbb или IPB гораздо опаснее :) Что же касается запуска phpmyadmin из под юзера, то скорее всего это или общий акаунт аля "nobody" от которого так же работают остальные сайты, либо же по прежнему UID клиента от которого он был запущен в случае suPHP....