phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php

[shopmarket]

Заметил что по всем доменам и IP адресу можно без всякого пароля просмотреть и изменить phpMyAdmin setup, который доступен по адресу http://_ваш_домен_/phpmyadmin/setup/index.php
????!!!!
У всех так? Это баг или так и должно быть, ведь таким образом любой может завалить mySQL?
Как это исправить?

[skurudo]

Проверю дополнительно, но пока не подтверждается на серверах - яркий пример - https://demo.vestacp.com/phpmyadmin/setup/index.php

Подскажите ОС, где наблюдали.
Сразу после установки или все-таки что-то делалось с настройками?

[skurudo]

В дополнение - как устанавливали? Полная установка или опции использовали?

[shopmarket]

CentOS 6.7

[skurudo]

Примените патч и проверьте:
viewtopic.php?f=14&t=10307
или топик на русском:
viewtopic.php?f=32&t=10306

[shopmarket]

Полна установка. По умолчанию.

[shopmarket]

А если без установки фикса как в приведенном топике, так как там тестировали его пока только на Debian и Ubuntu, а у меня Centos. Может быть как то ручками в каком то конфигурационном файле поправить?

P.S. Ставил Весту по умолчанию и без каких либо правок в дальнейшем заметил такое.
Подождем отзывы других у кого CentOS, наверняка такое же.

[skurudo]

Посмотрите, пожалуйста, версию - Version information: 4.4.15.2 ?

[shopmarket]

Версия 5.5.47

[skurudo]

А если без установки фикса как в приведенном топике, так как там тестировали его пока только на Debian и Ubuntu, а у меня Centos. Может быть как то ручками в каком то конфигурационном файле поправить?

Подозреваю обновление пакета phpmyadmin на CentOS.
Быстрый фикс выглядит следующим образом:

Редактируем: /etc/httpd/conf.d/phpMyAdmin.conf

Добавляем запрет:

Code: Select all

<Directory /usr/share/phpMyAdmin/setup>
    Order Deny,Allow
    Deny from All
    Allow from None
</Directory>

Перезапускаем сервис:

Code: Select all

service httpd restart

Сделал более идеологически правильный фикс:
viewtopic.php?f=32&t=10594&start=10#p39394