UND-Online Newsletter Archiv
Sicherheitsluecken in phpMyAdmin und Deaktivierung alter Versionen
Sehr geehrte Kundin,
Sehr geehrter Kunde,
die nachstehenden Informationen sind fuer Sie von Bedeutung, sofern Sie im
Rahmen Ihrer WebPraesenz mit mySQL-Datenbanken arbeiten, die Sie ueber eine
phpMyAdmin-Oberflaeche verwalten.
Bitte beachten Sie, dass auch verschiedene Software-Applikationen wie z.B das
Typo3 CMS einen integrierten phpMyAdmin zur Datenbankadministration mit
installieren! Sofern Sie eine phpMyAdmin-Version kleiner Version 2.11.9.5 bzw.
3.1.3.2 verwenden, nehmen Sie bitte UNBEDINGT und schnellstmoeglich ein Update
vor, da es bereits mehrfach zu Missbrauchsfaellen gekommen ist! Wir empfehlen
die Installation der aktuellen Version 3.2.1, die auf allen UND-Netz Servern
zur Verfuegung steht.
Bitte beachten Sie, dass gefaehrdete Versionen auf allen UND-Netz Servern und
allen managed Root-Servern von uns serverseitig spaetestens ab dem 21.09.2008
deaktiviert und am 05.10.09 geloescht werden!
Alle Reseller und Agenturen moechten wir bitten, die nachfolgenden Informationen
auch zeitnah an Ihre Kunden und Benutzer weiterzuleiten.
[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Uebersicht: www.News.Und-Online.de
O====== [ Mehrere Sicherheitsluecken in phpMyAdmin ] ======O
In allen phpMyAdmin Versionen kleiner 2.11.9.5 bzw. 3.1.3.2 befinden sich
mehrere Sicherheitsluecken, die auf unseren Systemen gerade in letzter Zeit
mehrfach durch Angreifer ausgenutzt wurden. Einen Ueberblick erhalten Sie unter:
http://www.phpmyadmin.net/home_page/security/PMASA-2009-5.php
Hacker scannen derzeit offensichtlich vermehrt nach verwundbaren
phpMyAdmin-Versionen. Bitte pruefen Sie unbedingt, ob das Verzeichnis Ihres
phpMyAdmin mit einem Verzeichnisschutz (.htaccess) versehen ist und nehmen Sie
schnellstmoeglich ein Update auf die aktuell verfuegbare Version 3.2.1 vor. Alte
Installationen sollten Sie vorab selbststaendig loeschen!
O===== [ Neue Versionen von phpMyAdmin verfuegbar ] =======O
Ab sofort steht Ihnen im Server-Interface die aktuelle phpMyAdmin- Version 3.2.1
zur Verfuegung, die alle derzeit bekannten Sicherheitsluecken schliesst. Sie
koennen die Anwendung entweder in einem Verzeichnis Ihrer Praesenz installieren
oder OHNE Installation den bequemen Instant-phpMyAdmin nutzen (empfohlen).
Bitte loeschen Sie zu Ihrer eigenen Sicherheit umgehend aeltere
phpMyAdmin-Versionen von Ihrem WebSpace-Account. In der Regel ist der phpMyAdmin
im Unterverzeichnis IhrDomainname.xy/phpMyAdmin/ installiert. Bitte loeschen Sie
in diesem Falle das vollstaendige Verzeichnis /phpMyAdmin/, sofern sich darin
keine anderen wichtigen Daten befinden.
Sie haben folgende Optionen für die Neu-Installation:
O=== [ 1.) Nutzung des Instant-phpMyAdmin (empfohlen)
Wir empfehlen Ihnen kuenftig die Nutzung des Instant phpMyAdmin.
Dieses Vorgehen bietet Ihnen diverse Vorteile:
- Sie muessen keine Software auf Ihrem Host installieren und Ihr
Speicherplatz wird somit nicht reduziert
- Der phpMyAdmin ist und bleibt stets aktuell, da wir die Software
zentral fuer Sie aktualsieren. Sie haben also NIE das Risiko von
Sicherheitsluecken.
Um kuenftig mit einer aktuellen, vorinstallierten Instant-Version zu arbeiten,
gehen Sie wie folgt vor:
- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)
- KLICK: Administration
- KLICK: Installationsmanager
- KLICK: MySQL Datenbanken
Ueber die Liste der Datenbanken koennen Sie fuer jede Ihrer mySQL- Datenbanken
eine aktuelle Version per Klick aufrufen ->
"phpMyAdmin: klicken Sie [hier]"
O=== [ 2.) Installation einer phpMyAdmin-Version in einem Verzeichnis:
Wir bieten mit der Aktualisierung auf Version 3.2.1 letztmalig eine
Installationsmoeglichkeit ueber das Server-Interface an. Bei weiteren
Schwachstellen und noetigen Updates werden wir dieses Feature kuenftig
deaktivieren und nicht weiter pflegen. Kunden die den phpMyAdmin weiterhin auf
ihren Hosts installieren moechten, koennen sich die Installationsdateien direkt
beim Hersteller herunterladen.
(s. http://www.phpmyadmin.net)
Die nachfolgend beschriebene Installation hat die Nachteile, dass die
Installation Ihren Speicherplatz belegt, automatisch veraltet und ggf.
Sicherheitsluecken aufweist und Sie fuer JEDE Ihrer Datenbanken eine eigene
Installation vornehmen muessen. Wenn Sie sich dennoch fuer diese Option
entscheiden, gehen Sie wie folgt vor:
- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)
- KLICK: Administration
- KLICK: PHP MyADMIN
- Folgen Sie den Anweisungen und ergaenzen Sie die Angaben.
WICHTIG:
Sollten Sie trotzdem eine Neuinstallation von phpMyAdmin vornehmen, so achten
Sie UNBEDINGT auf den Verzeichnisschutz! Dieser laesst sich im Server-Interface
unter "Administration" -> "Verzeichnisschutz" aktivieren, erhoeht die Sicherheit
der phpMyAdmin-Installation und schuetzt Ihre Daten vor dem Zugriff durch
Dritte. Zudem koennen Sicherheitsluecken nicht so schnell ausgenutzt werden.
O====== [ Loeschung und Entfernung alter phpMyAdmin ] ========O
Da durch die o.a. Sicherheitsluecken im phpMyAdmin Systeme und Kundenpraesenzen
stark kompromittiert werden koennen, werden wir ab Montag, 21.09.09 auf allen
Systemen alle phpMyAdmin-Versionen kleiner als 2.11.9.5 bzw. 3.1.3.2
automatisiert suchen und DEAKTIVIEREN!
Dies dient Ihrer eigenen Sicherheit sowie der Stabilitaet unserer Systeme.
Am Montag, den 05.10.2009 werden wir abschliessend alle deaktivierten und nicht
aktualisierten Versionen vollstaendig von den Systemen entfernen.
O============== [ Mailadresse loeschen ] ==============O
Sollten Sie bei Und-Online KEINE Leistungen mehr nutzen und diese Nachricht
versehentlich erhalten haben, klicken Sie bitte auf den nachfolgenden Link. Wir
werden den Vorgang pruefen und Ihre Daten im Falle einer Kuendigung aller
Leistung aus unserem Verteiler entfernen:
mailto:Vertrieb@Und-Online.de?subject=Kein_Kunde&body=loeschen
Senden Sie alternativ eine E-Mail von der Absenderadresse an der Sie die o. a.
Kundeninformation erhalten haben und bitten Sie um Loeschung Ihrer Adresse!
[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Uebersicht: www.News.Und-Online.de
Vielen Dank für Ihre Bemühungen und sonnige Grüße aus Freiburg..
Mit den besten Grüßen von UND
Ihrem Internet Service Provider
Customer Care Service
Umkircher Network Dienste
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Umkircher Network Dienste | Im Stöckacker 9 | D-79224 Umkirch
Fon: 0180-5445172-898 | Fax: 0180-5445172-353
(Service-Nummern nur EUR 0,12/Min.)
http://www.und-online.de | mailto:info@und-online.de
************************************************************
Online-Support:
http://support.und-online.de (kostenlos)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++