UND-Online Newsletter Archiv

26
.09.2008 Sicherheitsluecke in phpMyAdmin Deaktivierung alter Versionen


Sehr geehrte Kundin,
Sehr geehrter Kunde,

die nachstehenden Informationen sind fuer Sie von Bedeutung, sofern Sie
im Rahmen Ihrer WebPraesenz mit mySQL-Datenbanken arbeiten, die
Sie ueber eine phpMyAdmin-Oberflaeche verwalten. Sofern Sie eine
phpMyAdmin-Version kleiner Version 2.11.9.1 verwenden, nehmen Sie
bitte UNBEDINGT und schnellstmoeglich ein Update vor, da es bereits
mehrfach zu Missbrauchsfaellen gekommen ist!

Bitte beachten Sie, dass gefaehrdete Versionen auf allen UND-Online
Servern und allen manged Root-Servern von uns serverseitig
ab dem 08.10.2008 deaktiviert werden!

Alle Reseller und Agenturen moechten wir bitten, die nachfolgenden
Informationen auch zeitnah an Ihre Kunden und Benutzer weiterzuleiten.

[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte
[ an Technik@Und-Online.de
[
[ News-Uebersicht: www.News.Und-Online.de



O====== [ Kritische Sicherheitsluecke in phpMyAdmin ] ======O

In allen Versionen von phpMyAdmin vor 2.11.9.1 befindet sich eine 
kritische Sicherheitsluecke, über welche Angreifer Systemcode 
einschleusen und ausfuehren können. Weitere Details koennen Sie u.a.
der folgenden Meldungen bei Heise Security entnehmen:

http://www.heise.de/security/Schwachstelle-in-phpMyAdmin-Update--/news/meldung/116048

Hacker scannen derzeit automatisiert nach verwundbaren phpMyAdmin-Versionen.
Es kam auch bei uns bereits zu ersten Missbrauchsfaellen. Es besteht also
DRINGENDER HANDLUNGSBEDARF, um weitreichende Schaeden oder 
gar eine Schaedigung Dritter abzuwenden. Bitte pruefen Sie unbedingt, ob das
Verzeichnis Ihres phpMyAdmin mit einem Verzeichnisschutz (.htaccess) versehen
ist.



O===== [ Neue Versionen von phpMyAdmin verfuegbar ] =======O

Ab sofort steht Ihnen im Server-Interface die aktuelle phpMyAdmin-Version
2.11.9.1 zur Verfuegung, die die o.a. Sicherheitsluecke schliesst. 
Sie koennen die Anwendung entweder in einem Verzeichnis Ihrer Praesenz
installieren oder OHNE Installation den bequemen Instant-phpMyAdmin
nutzen (empfohlen).

Bitte loeschen Sie zu Ihrer eigenen Sicherheit umgehend aeltere 
phpMyAdmin-Versionen von Ihrem WebSpace-Account. In der Regel ist
der phpMyAdmin im Unterverzeichnis IhrDomainname.xy/phpMyAdmin/
installiert. Bitte loeschen Sie in diesem Falle das vollstaendige Verzeichnis
/phpMyAdmin/, sofern sich darin keine anderen wichtigen Daten befinden.

Optionen der Neu-Installation:


O=== [ 1.) Nutzung des Instant phpMyAdmin (empfohlen)

Wir empfehlen Ihnen kuenftig die Nutzung des Instant phpMyAdmin. Dieses
Vorgehen bietet Ihnen diverse Vorteile:

- Sie muessen keine Software auf Ihrem Host installieren und Ihr
Speicherplatz wird somit nicht minimiert

- Der phpMyAdmin ist und bleibt stets aktuell, da wir die Software
zentral fuer Sie aktualsieren. Sie haben also NIE das Risiko von
Sicherheitsluecken.

Um kuenftig mit einer aktuellen, vorinstallierten Instant-Version zu 
arbeiten, gehen Sie wie folgt vor:

- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)

- KLICK: Administration
- KLICK: Installationsmanager
- KLICK: MySQL Datenbanken

Ueber die Liste der Datenbanken koennen Sie fuer jede Ihrer mySQL-
Datenbanken eine aktuelle Version per Klick aufrufen ->
"phpMyAdmin: klicken Sie [hier]"




O=== [ 2.) Installation einer phpMyAdmin-Version in einem Verzeichnis:

Dieses Vorgehen hat den Nachteil, dass die Installation Ihren Speicherplatz
belegt, automatisch veraltet und ggf. Sicherheitsluecken aufweist und
Sie fuer JEDE Ihrer Datenbanken eine eigene Installation vornehmen 
muessen. Wenn Sie sich dennoch fuer diese Option entscheiden, gehen
Sie wie folgt vor:

- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)

- KLICK: Administration
- KLICK: PHP MyADMIN
- Folgen Sie den Anweisungen und ergaenzen Sie die Angaben.

WICHTIG:
Sollten Sie trotzdem eine Neuinstallation von phpMyAdmin vornehmen, so 
achten Sie UNBEDINGT auf den Verzeichnisschutz! Dieser laesst sich im 
Server-Interface unter "Administration" -> "Verzeichnisschutz" aktivieren, 
erhoeht die Sicherheit der phpMyAdmin-Installation und schuetzt Ihre Daten 
vor dem Zugriff durch Dritte. Zudem koennen Sicherheitsluecken wie o.a. 
nicht so schnell ausgenutzt werden.





O====== [ Loeschung und Entfernung alter phpMyAdmin ] ========O

Da durch die o.a. Sicherheitsliecke in phpMyAdmin-Versionen vor 2.11.9.1 
Systeme stark kompromittiert werden koennen, werden wir ab Mittwoch, 
08.10.2008 auf allen Systemen alle phpMyAdmin-Versionen vor 2.11.9.1 
automatisiert suchen und DEAKTIVIEREN. Dies dient Ihrer eigenen 
Sicherheit sowie der Stabilitaet unserer Systeme.

Am Freitag, den 31.10.2008 werden wir abschliessend alle deaktivierten
und nicht aktualisierten Versionen VOR 2.11.9.1 vollstaendig entfernen.

O========= [ MAILADRESSE LOESCHEN ] ===========O

Sollten Sie bei der UND KEINE Leistungen mehr nutzen und diese
Nachricht versehentlich erhalten haben, klicken Sie bitte auf den
nachfolgenden Link. Wir werden den Vorgang pruefen und Ihre Daten im
Falle einer Kuendigung aller Leistung aus unserem Verteiler entfernen:

mailto:Vertrieb@Und-Online.de?subject=Kein_Kunde&body=loeschen

Senden Sie alternativ eine E-Mail von der Absenderadresse an der Sie die
o. a. Kundeninformation erhalten haben und bitten Sie um Loeschung Ihrer
Adresse!


[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Uebersicht: www.News.Und-Online.de


Vielen Dank für Ihre Bemühungen.

Mit den besten Grüßen von UND
Ihrem Internet Service Provider

Customer Care Service
Umkircher Network Dienste
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Umkircher Network Dienste | Im Stöckacker 9 | D-79224 Umkirch
Fon: 0180-5445172-898 | Fax: 0180-5445172-353
(Service-Nummern nur EUR 0,12/Min.)
http://www.und-online.de | mailto:info@und-online.de
************************************************************
Online-Support:
Support: 0900-5805470-223 (EUR 0,99/Min)
http://support.und-online.de (kostenlos)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++