Page 1 of 2
phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 12:23 pm
by shopmarket
Заметил что по всем доменам и IP адресу можно без всякого пароля просмотреть и изменить phpMyAdmin setup, который доступен по адресу http://_ваш_домен_/phpmyadmin/setup/index.php
????!!!!
У всех так? Это баг или так и должно быть, ведь таким образом любой может завалить mySQL?
Как это исправить?
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:15 pm
by skurudo
Проверю дополнительно, но пока не подтверждается на серверах - яркий пример -
https://demo.vestacp.com/phpmyadmin/setup/index.php
Подскажите ОС, где наблюдали.
Сразу после установки или все-таки что-то делалось с настройками?
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:24 pm
by skurudo
В дополнение - как устанавливали? Полная установка или опции использовали?
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:26 pm
by shopmarket
CentOS 6.7
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:26 pm
by skurudo
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:28 pm
by shopmarket
Полна установка. По умолчанию.
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:36 pm
by shopmarket
А если без установки фикса как в приведенном топике, так как там тестировали его пока только на Debian и Ubuntu, а у меня Centos. Может быть как то ручками в каком то конфигурационном файле поправить?
P.S. Ставил Весту по умолчанию и без каких либо правок в дальнейшем заметил такое.
Подождем отзывы других у кого CentOS, наверняка такое же.
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:43 pm
by skurudo
Посмотрите, пожалуйста, версию - Version information: 4.4.15.2 ?
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:47 pm
by shopmarket
Версия 5.5.47
Re: phpMyAdmin setup открыто доступен по адресу /phpmyadmin/setup/index.php
Posted: Thu Feb 11, 2016 1:54 pm
by skurudo
shopmarket wrote:А если без установки фикса как в приведенном топике, так как там тестировали его пока только на Debian и Ubuntu, а у меня Centos. Может быть как то ручками в каком то конфигурационном файле поправить?
Подозреваю обновление пакета phpmyadmin на CentOS.
Быстрый фикс выглядит следующим образом:
Редактируем: /etc/httpd/conf.d/phpMyAdmin.conf
Добавляем запрет:
Code: Select all
<Directory /usr/share/phpMyAdmin/setup>
Order Deny,Allow
Deny from All
Allow from None
</Directory>
Перезапускаем сервис:
Сделал более идеологически правильный фикс:
viewtopic.php?f=32&t=10594&start=10#p39394