Faille de sécurité importante dans PhpMyAdmin

le 24 mars 2009, une importante faille de sécurité à été signalée dans phpmyadmin (Détail).

Alors qu’elle n’a été que peu utilisée par les hackers ces dernières semaines, voila qu’une importante vague est en cours d’exécution, afin de pénétrer les différents sites n’ayant pas encore mis à jour leurs version. Il est donc important et primordiale de vérifier la version de votre phpmyadmin, et de le mettre à jour (ou exiger de votre hébergeur sa mise à jour). En effet, une telle faille de sécurité permets au hackeur de prendre le contrôle de vos page (notamment l’upload de pages, etc…).

les versions impactées par cette faille sont:

• < 2.11.9.5.
• < 3.1.3.1.

Vous aurez l’information de votre version sur la page d’accueil de votre phpmyadmin. Si vous disposez d’une version inférieur à celle signalée, effectuez immédiatement votre mise à jour!

Comment mettre à jour votre serveur? (explication pour un serveur debian, mais valable pour les autres égalements):

• Connectez-vous en ssh sur votre serveur
• Recherchez votre installation de phpmyadmin (généralement sous /var/www/phpmyadmin). Si vous ne savez pas ou elle est, un “locate phpmyadmin” ou une lecture de votre vhost (dans /etc/apache2/site-enabled/*) devrait vous l’indiquer
• Copier votre ancien répertoire (mv phpmyadmin phpmyadmin.bak) afin d’avoir une sauvegarde
• téléchargez la nouvelle version (wget http://ftp.de.debian.org/debian/poli/main/p/phpmyadmin/phpmyadmin_3.1.5.orig.tar.gz pour la 3.1.5 ou wget http://superb-east.dl.sourceforge.net/sourceforge/phpmyadmin/phpMyAdmin-2.11.9.5-all-languages.tar.gz pour la 2.11.9.5)
• Décompressez la (tar xvzf phpMyAdmin-2.11.9.5-all-languages.tar.gz)
• Renommez la (mv phpMyAdmin-XXX phpmyadmin)
• copier le fichier config.inc.php de votre ancienne version a la nouvelle (cp phpmyadmin.bak/config.inc.php phpmyadmin/)
• N’oubliez pas de copier vos themes personnalisé, si vous en avez !
• vérifiez que vos liens fonctionnent à nouveau

Pensez quand meme à vérifier que les droits sont les mêmes (un ls -la vous permets de vérifier les droits du répertoire précédent, et un chown -R owner.group phpmyadmin vous permets de les mettres à jour si besoin).

Et surtout… ne prenez pas à légère ces problèmes de sécurités!!! Vous êtes responsable du contenu de vos sites web et serveurs… Et en cas de problème, c’est contre vous que le procès peut avoir lieu, en premier !!!

• « Previous post
• Next post »

• Recherche Google

• Recent Posts

  • [zf] Installer Zend framework sur son hébergement
  • [saga] Débuter avec Zend framework 0/?
  • Le gentil renard sort (enfin) sa RC1 de firefox 3.5 !
  • Faille de sécurité importante dans PhpMyAdmin
  • [Base] Procédure stockée et Trigger sous mysql

• Newsletter

  Enregistrez-vous pour recevoir notre newsletter!

  Our strict privacy policy keeps your email address 100% safe & secure.

• Categories

  • Genéral (8)
  • Informatique (12)
  • Linux (7)
    • Debian Etch (5)
    • Debian Lenny (4)
  • Privé (3)
  • Programmation (10)
    • Mysql (1)
    • Php (5)
    • Référencement (1)
    • Web securité (2)
    • Zend Framework (2)
  • Tutoriaux (7)

• Archives

  Select Month June 2009  (4) May 2009  (1) March 2009  (2) February 2009  (9) January 2009  (2) September 2008  (4)

• Membre

  • Register
  • Log in
  • Entries RSS
  • Comments RSS
  • WordPress.org

• Informatique

  • homepage

• Liens externes

  • homepage
  • Tutorial Dvp
  • Visionweb
  • Visionweb Consulting

• Tags

  admin adsense analytics apt backup bkp client codeur debian dmoz domaine développement développeur Etch freelance ftp google GPG graphiste hébergement ids interface ispcp Lenny naturel ncftp ncftput panel Php phpBB3 phpids portage pr relation Référencement salariale security serveur suexec sécurité update warning Warning: SuexecUserGroup directive requires SUEXEC wrapper Web wrapper