Opa Marcelo,
Show de bola. Vou testar esse repo mas se forem muitas dependências vou dar uma aguardada no CentOS 6 e enquanto isso estou protegendo o phpmyadmin com acesso digest ao diretório.
Quem quiser fazer o mesmo aqui vai a dica:
1) confirme no httpd.conf se está habilitado o digest:
LoadModule auth_digest_module modules/mod_auth_digest.so
2) criar o arquivo de senhas com um usuário:
# htdigest -c /etc/httpd/conf/digest.conf "Acesso Restrito" gondim
"gondim" seria o user que vc quer criar. O -c vc só usar uma vez para criar o arquivo.
3) definir a proteção no diretório:
<Directory "/usr/share/phpmyadmin"> # Order Deny,Allow # Deny from all # Allow from 192.168.10.0/24 AuthType Digest AuthName "Acesso Restrito" AuthUserFile /etc/httpd/conf/digest.conf AuthDigestProvider file Require valid-user # Require user gondim # Satisfy any </Directory>
Alias /phpmyadmin /usr/share/phpmyadmin Alias /phpMyAdmin /usr/share/phpmyadmin Alias /mysqladmin /usr/share/phpmyadmin
Aí no caso pode editar o /etc/httpd/conf.d/phpmyadmin.conf e fazer essa alteração. :)
Em 17-01-2011 07:21, Marcelo Subtil Marcal escreveu:
Olá Marcelo,
Encontrei o pacote phpMyAdmin-3.3.9 apenas no repositório REMI, mas com dependências do php-5.2.0.
Caso interesse em configurar esse repositório:
# rpm -Uvh http://rpms.famillecollet.com/el5.i386/remi-release-5-8.el5.remi.noarch.rpm
[]'s
/*Marcelo Subtil Marçal*/
marcelo@smarcal.com mailto:marcelo@smarcal.com Twitter http://twitter.com/msmarcalGoogle http://www.google.com/profiles/msmarcalLinkedin http://www.linkedin.com/in/msmarcalLast.fm http://www.last.fm/user/msmarcalOrkut http://www.orkut.com.br/Profile.aspx?uid=11425061924826698897Facebook http://www.facebook.com/msmarcalYoutube http://www.youtube.com/user/msmarcalBlog RSS http://blog.smarcal.com/feed/
On Sun, Jan 16, 2011 at 4:58 PM, Marcelo Gondim <gondim@linuxinfo.com.br mailto:gondim@linuxinfo.com.br> wrote:
Olá pessoal, O PHPMyAdmin nas versões que vi tanto do rpmforge quanto do EPEL estão vulneráveis à esses problemas: CVE-2010-4329 Cross site scripting was possible in search, that allowed a remote attacker to inject arbitrary web script or HTML. CVE-2010-4480 Cross site scripting was possible in errors, that allowed a remote attacker to inject arbitrary web script or HTML. CVE-2010-4481 Display of PHP's phpinfo() function was available to world, but only if this functionality had been enabled (defaults to off). This may leak some information about the host system. Um exemplo de como testar: http://127.0.0.1/phpmyadmin/error.php?type=This+is+a+client+side+hole+evidence&error=Client+side+attack+via+characters+injection[br]It%27s+possible+use+some+special+tags+too[br]Found+by+Tiger+Security+Tiger+Team+-+[a%40http://www.tigersecurity.it%40_self]This%20Is%20a%20Link[%2Fa] <http://127.0.0.1/phpmyadmin/error.php?type=This+is+a+client+side+hole+evidence&error=Client+side+attack+via+characters+injection[br]It%27s+possible+use+some+special+tags+too[br]Found+by+Tiger+Security+Tiger+Team+-+[a%40http://www.tigersecurity.it%40_self]This%20Is%20a%20Link[%2Fa]>
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br