UND-Online Newsletter Archiv

Sicherheitsluecken in phpMyAdmin und Deaktivierung alter Versionen

 

Sehr geehrte Kundin,
Sehr geehrter Kunde,

die nachstehenden Informationen sind fuer Sie von Bedeutung, sofern Sie im Rahmen Ihrer WebPraesenz mit mySQL-Datenbanken arbeiten, die Sie ueber eine phpMyAdmin-Oberflaeche verwalten.

Bitte beachten Sie, dass auch verschiedene Software-Applikationen wie z.B das Typo3 CMS einen integrierten phpMyAdmin zur Datenbankadministration mit installieren! Sofern Sie eine phpMyAdmin-Version kleiner Version 2.11.9.5 bzw. 3.1.3.2 verwenden, nehmen Sie bitte UNBEDINGT und schnellstmoeglich ein Update vor, da es bereits mehrfach zu Missbrauchsfaellen gekommen ist! Wir empfehlen die Installation der aktuellen Version 3.2.1, die auf allen UND-Netz Servern zur Verfuegung steht.

Bitte beachten Sie, dass gefaehrdete Versionen auf allen UND-Netz Servern und allen managed Root-Servern von uns serverseitig spaetestens ab dem 21.09.2008 deaktiviert und am 05.10.09 geloescht werden!

Alle Reseller und Agenturen moechten wir bitten, die nachfolgenden Informationen auch zeitnah an Ihre Kunden und Benutzer weiterzuleiten.


[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Uebersicht: www.News.Und-Online.de




O====== [ Mehrere Sicherheitsluecken in phpMyAdmin ] ======O

In allen phpMyAdmin Versionen kleiner 2.11.9.5 bzw. 3.1.3.2 befinden sich mehrere Sicherheitsluecken, die auf unseren Systemen gerade in letzter Zeit mehrfach durch Angreifer ausgenutzt wurden. Einen Ueberblick erhalten Sie unter:
http://www.phpmyadmin.net/home_page/security/PMASA-2009-5.php

Hacker scannen derzeit offensichtlich vermehrt nach verwundbaren phpMyAdmin-Versionen. Bitte pruefen Sie unbedingt, ob das Verzeichnis Ihres phpMyAdmin mit einem Verzeichnisschutz (.htaccess) versehen ist und nehmen Sie schnellstmoeglich ein Update auf die aktuell verfuegbare Version 3.2.1 vor. Alte Installationen sollten Sie vorab selbststaendig loeschen!





O===== [ Neue Versionen von phpMyAdmin verfuegbar ] =======O

Ab sofort steht Ihnen im Server-Interface die aktuelle phpMyAdmin- Version 3.2.1 zur Verfuegung, die alle derzeit bekannten Sicherheitsluecken schliesst. Sie koennen die Anwendung entweder in einem Verzeichnis Ihrer Praesenz installieren oder OHNE Installation den bequemen Instant-phpMyAdmin nutzen (empfohlen).

Bitte loeschen Sie zu Ihrer eigenen Sicherheit umgehend aeltere phpMyAdmin-Versionen von Ihrem WebSpace-Account. In der Regel ist der phpMyAdmin im Unterverzeichnis IhrDomainname.xy/phpMyAdmin/ installiert. Bitte loeschen Sie in diesem Falle das vollstaendige Verzeichnis /phpMyAdmin/, sofern sich darin keine anderen wichtigen Daten befinden.

Sie haben folgende Optionen für die Neu-Installation:


O=== [ 1.) Nutzung des Instant-phpMyAdmin (empfohlen)

Wir empfehlen Ihnen kuenftig die Nutzung des Instant phpMyAdmin.
Dieses Vorgehen bietet Ihnen diverse Vorteile:

- Sie muessen keine Software auf Ihrem Host installieren und Ihr
Speicherplatz wird somit nicht reduziert

- Der phpMyAdmin ist und bleibt stets aktuell, da wir die Software
zentral fuer Sie aktualsieren. Sie haben also NIE das Risiko von
Sicherheitsluecken.

Um kuenftig mit einer aktuellen, vorinstallierten Instant-Version zu arbeiten, gehen Sie wie folgt vor:

- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)

- KLICK: Administration
- KLICK: Installationsmanager
- KLICK: MySQL Datenbanken

Ueber die Liste der Datenbanken koennen Sie fuer jede Ihrer mySQL- Datenbanken eine aktuelle Version per Klick aufrufen ->
"phpMyAdmin: klicken Sie [hier]"




O=== [ 2.) Installation einer phpMyAdmin-Version in einem Verzeichnis:


Wir bieten mit der Aktualisierung auf Version 3.2.1 letztmalig eine Installationsmoeglichkeit ueber das Server-Interface an. Bei weiteren Schwachstellen und noetigen Updates werden wir dieses Feature kuenftig deaktivieren und nicht weiter pflegen. Kunden die den phpMyAdmin weiterhin auf ihren Hosts installieren moechten, koennen sich die Installationsdateien direkt beim Hersteller herunterladen.
(s. http://www.phpmyadmin.net)

Die nachfolgend beschriebene Installation hat die Nachteile, dass die Installation Ihren Speicherplatz belegt, automatisch veraltet und ggf.
Sicherheitsluecken aufweist und Sie fuer JEDE Ihrer Datenbanken eine eigene Installation vornehmen muessen. Wenn Sie sich dennoch fuer diese Option entscheiden, gehen Sie wie folgt vor:

- Aufruf Ihres Server-Interface: http://IhreDomain.xy/server-interface/
(ersetzen Sie "IhreDomain.xy" durch den Namen Ihrer Domain!)

- KLICK: Administration
- KLICK: PHP MyADMIN
- Folgen Sie den Anweisungen und ergaenzen Sie die Angaben.

WICHTIG:
Sollten Sie trotzdem eine Neuinstallation von phpMyAdmin vornehmen, so achten Sie UNBEDINGT auf den Verzeichnisschutz! Dieser laesst sich im Server-Interface unter "Administration" -> "Verzeichnisschutz" aktivieren, erhoeht die Sicherheit der phpMyAdmin-Installation und schuetzt Ihre Daten vor dem Zugriff durch Dritte. Zudem koennen Sicherheitsluecken nicht so schnell ausgenutzt werden.





O====== [ Loeschung und Entfernung alter phpMyAdmin ] ========O

Da durch die o.a. Sicherheitsluecken im phpMyAdmin Systeme und Kundenpraesenzen stark kompromittiert werden koennen, werden wir ab Montag, 21.09.09 auf allen Systemen alle phpMyAdmin-Versionen kleiner als 2.11.9.5 bzw. 3.1.3.2 automatisiert suchen und DEAKTIVIEREN!
Dies dient Ihrer eigenen Sicherheit sowie der Stabilitaet unserer Systeme.

Am Montag, den 05.10.2009 werden wir abschliessend alle deaktivierten und nicht aktualisierten Versionen vollstaendig von den Systemen entfernen.





O============== [ Mailadresse loeschen ] ==============O

Sollten Sie bei Und-Online KEINE Leistungen mehr nutzen und diese Nachricht versehentlich erhalten haben, klicken Sie bitte auf den nachfolgenden Link. Wir werden den Vorgang pruefen und Ihre Daten im Falle einer Kuendigung aller Leistung aus unserem Verteiler entfernen:

mailto:Vertrieb@Und-Online.de?subject=Kein_Kunde&body=loeschen

Senden Sie alternativ eine E-Mail von der Absenderadresse an der Sie die o. a. Kundeninformation erhalten haben und bitten Sie um Loeschung Ihrer Adresse!



[ HINWEIS:
[ Bitte antworten Sie nicht auf diese Mail!
[ Bei Rueckfragen wenden Sie sich bitte an
[ Technik@Und-Online.de!
[
[ News-Uebersicht: www.News.Und-Online.de



Vielen Dank für Ihre Bemühungen und sonnige Grüße aus Freiburg..

Mit den besten Grüßen von UND
Ihrem Internet Service Provider

Customer Care Service
Umkircher Network Dienste
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Umkircher Network Dienste | Im Stöckacker 9 | D-79224 Umkirch
Fon: 0180-5445172-898 | Fax: 0180-5445172-353
(Service-Nummern nur EUR 0,12/Min.)
http://www.und-online.de | mailto:info@und-online.de
************************************************************
Online-Support:
http://support.und-online.de (kostenlos)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++