|
In allen Versionen von phpMyAdmin vor 2.11.9.1 befindet sich eine
kritische Sicherheitsluecke, über welche Angreifer Systemcode
einschleusen und ausfuehren können. Weitere Details koennen Sie u.a.
der folgenden Meldungen bei Heise Security entnehmen:
http://www.heise.de/security/Schwachstelle-in-phpMyAdmin-Update--/news/meldung/116048
Hacker scannen derzeit automatisiert nach verwundbaren phpMyAdmin-Versionen.
Es besteht also DRINGENDER HANDLUNGSBEDARF, um weitreichende Schaeden oder
gar eine Schaedigung Dritter abzuwenden. Bitte pruefen Sie unbedingt, ob das
Verzeichnis Ihres phpMyAdmin mit einem Verzeichnisschutz (.htaccess) versehen
ist.
O===== [ Neue Versionen von phpMyAdmin verfuegbar ] =======O
Ab sofort steht Ihnen im Server-Interface die aktuelle phpMyAdmin-Version
2.11.9.1 zur Verfuegung, die die o.a. Sicherheitsluecke schliesst.
Sie koennen die Anwendung entweder in einem Verzeichnis Ihrer Praesenz
installieren oder OHNE Installation den bequemen Instant-phpMyAdmin
nutzen (empfohlen).
Bitte loeschen Sie zu Ihrer eigenen Sicherheit umgehend aeltere
phpMyAdmin-Versionen von Ihrem WebSpace-Account. In der Regel ist
der phpMyAdmin im Unterverzeichnis IhrDomainname.xy/phpMyAdmin/
installiert. Bitte loeschen Sie in diesem Falle das vollstaendige Verzeichnis
/phpMyAdmin/, sofern sich darin keine anderen wichtigen Daten befinden.
Optionen der Neu-Installation:
O=== [ 1.) Nutzung des Instant phpMyAdmin (empfohlen)
Wir empfehlen Ihnen kuenftig die Nutzung des Instant phpMyAdmin. Dieses
Vorgehen bietet Ihnen diverse Vorteile:- Sie muessen keine Software auf Ihrem Host installieren und Ihr Speicherplatz wird somit nicht minimiert
- Der phpMyAdmin ist und bleibt stets aktuell, da wir die Software zentral fuer Sie aktualsieren. Sie haben also NIE das Risiko von Sicherheitsluecken.
Um kuenftig mit einer aktuellen, vorinstallierten Instant-Version zu arbeiten, gehen Sie wie folgt vor:- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/ (ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)
- KLICK: Administration
- KLICK: Installationsmanager
- KLICK: MySQL Datenbanken
Ueber die Liste der Datenbanken koennen Sie fuer jede Ihrer mySQL-
Datenbanken eine aktuelle Version per Klick aufrufen ->
"phpMyAdmin: klicken Sie [hier]"
O=== [ 2.) Installation einer phpMyAdmin-Version in einem Verzeichnis:
Dieses Vorgehen hat den Nachteil, dass die Installation Ihren Speicherplatz
belegt, automatisch veraltet und ggf. Sicherheitsluecken aufweist und
Sie fuer JEDE Ihrer Datenbanken eine eigene Installation vornehmen
muessen. Wenn Sie sich dennoch fuer diese Option entscheiden, gehen
Sie wie folgt vor:- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/ (ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)
- KLICK: Administration
- KLICK: PHP MyADMIN
- Folgen Sie den Anweisungen und ergaenzen Sie die Angaben.
WICHTIG:
Sollten Sie trotzdem eine Neuinstallation von phpMyAdmin vornehmen, so
achten Sie UNBEDINGT auf den Verzeichnisschutz! Dieser laesst sich im
Server-Interface unter "Administration" -> "Verzeichnisschutz" aktivieren,
erhoeht die Sicherheit der phpMyAdmin-Installation und schuetzt Ihre Daten
vor dem Zugriff durch Dritte. Zudem koennen Sicherheitsluecken wie o.a.
nicht so schnell ausgenutzt werden.
O====== [ Loeschung und Entfernung alter phpMyAdmin ] ========O
Da durch die o.a. Sicherheitsliecke in phpMyAdmin-Versionen vor 2.11.9.1
Systeme stark kompromittiert werden koennen, werden wir ab Mittwoch,
08.10.2008 auf allen Systemen alle phpMyAdmin-Versionen vor 2.11.9.1
automatisiert suchen und DEAKTIVIEREN. Dies dient Ihrer eigenen
Sicherheit sowie der Stabilitaet unserer Systeme.
Am Freitag, den 31.10.2008 werden wir abschliessend alle deaktivierten
und nicht aktualisierten Versionen VOR 2.11.9.1 vollstaendig entfernen.
|
|
