phpMyAdminのsetup.phpの脆弱性を突くサイバー攻撃を確認


まったく違う用件でググっていたら、偶然この記事を発見しました。


まるで天からのメッセージのよう。


（備忘録の為、抜粋させていただきました）
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

【攻撃対象】
phpMyAdmin 2.11.x 系列 の 2.11.9.5以前と、
phpMyAdmin 3.x 系列 の 3.1.3.1以前。

【条件】
1.phpMyAdmin 配下に「scripts/setup.php」が存在し不特定IPからアクセス可能。
2.phpMyAdmin 配下に「configディレクトリ」が存在し不特定IPからアクセス可能。
（「scripts/setup.php」経由で設定ファイルを作成するディレクトリ。phpMyAdmin セットアップ時に「setup.php」経由で設定を行った後に「configディレクトリ」を削除していない場合など。）
3.phpMyAdmin 配下の「config/config.inc.php」に不特定IPからアクセス可能。

【攻撃方法】
「setup.php」を探して見つかればアクセスして、任意のコマンドを実行できるようにするインジェクションコードを埋め込んだ設定ファイル（「config.inc.php」）を作成し、それを介して攻撃するようです。

【原因（セキュリティホール）】
対象バージョンの「setup.php」経由での「config.inc.php」作成時に、サニタイズが行われていないために任意のコードを実行できるインジェクションコードの埋め込みを許してしまう部分があります。

【対策】
最低限下記のいずれかを行う。
1.phpMyAdmin を最新バージョンへアップデートする。（phpMyAdmin | Get phpMyAdmin at SourceForge.net）
2.phpMyAdmin へアクセスできるIPを制限する。（「/etc/httpd/conf.d/phpmyadmin.conf」また「.htaccess」など）
3.phpMyAdmin へのアクセスに認証を設ける。（「/etc/httpd/conf.d/phpmyadmin.conf」または「.htaccess」など）
4.phpMyAdmin 配下の 「setup.php」を削除またはパーミッション変更などによりアクセス不可とする。
5.phpMyAdmin 配下の「configディレクトリ」を削除またはパーミッション変更などによりアクセス不可とする。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～