Druckbare Version
Hallo an alle,
ich habe heute eine Meldung von all-inkl.com bekommen, die besagt, dass ich in meinem Wartungscenter wichtige Sicherheitslücken zu beheben hätte (kein Spam). Und tatsächlich meldet all-inkl.com dieses:
Anhang 27099
adminer.php ist meines Wissens nach eine PHP-Verwaltung, oder? Muss/kann man das updaten, wenn ja wie? Oder reicht es, diese Datei zunächst einfach nur mal umzubenennen?
Je nach Version von adminer musst du hier was machen, eine Umbenennen der Datei macht nicht viel Sinn, sofern diese Sicherheitslücken weiterhin bestehen.Zitat:
Zitat von Jens Pielawa
https://www.cvedetails.com/vulnerabi...5/Adminer.html
Adminer ist sowas wie phpMyAdmin, also eine Datenbankoberfläche. Ich würde sowas nie einfach auf dem Server liegen lassen, sondern nach Benutzung löschen und wenn dus wieder brauchst wieder hochladen.Zitat:
Zitat von Jens Pielawa
In den Webpaketen von All-Inkl. ist das m.E. auch nicht dabei. Die bieten wie die meisten Provider phpMyAdmin an. Ich nehme daher an Du hast einen eigenen Server oder Du hast das mal aus bestimmten Gründen zusätzlich aufgespielt.
Adminer an sich finde ich ja kein Problem, das installiere ich manchmal auch, weil es manche Sachen schneller, einfacher macht als phpMyAdmin, und solange es Kund:innen gibt, für die es eine schwierige Aufgabe ist, einen Datenbankzugang weiterzugeben, ist das sicher auch ein gutes Tool. Aber man muss es dann schon updaten, pflegen.
Zu Adminer: https://www.adminer.org/de/
Wenn Du es nicht mehr benötigst dann lösche es. Es ist ja bei Bedarf schnell neu aufgespielt.
Wenn Du es nicht selbst installiert hast, dann würde ich mir schon ein paar Gedanken zur Sicherheit Deines Webspaces machen.
Danke für Eure Hinweise. Das adminer.php wurde offenbar dort abgelegt, als es um einen bezahlten Auftrag ging, eine Webseite mit Contao 3 auf 4 upzudaten, anders ist das nicht erklärbar. Ich habe die zwei von all-inkl.com angemeckerten Fundstellen gelöscht und das Problem als gelöst markiert.
Hi,
ich mach das tatsächlich auch häufig so, das ich Adminer als Datei auf den Webspace kopiere und nach getaner Arbeit wieder entferne. Es ist auch gut hilfreich, wenn man zwar die DB-Daten in der Installation nachschauen kann, aber keinen direkten Zugang zur PMA-Oberfläche hat.
Gruss
René
Ich hatte diese Datei auch auf einmal auf einer Kundeninstallation bei All-Inkl. Habe dieses Tool noch nie gesehen/verwendet. Wie kommt die da hin ist die Frage!? Ich bin der einzige der den Space verwaltet.
Irgendwer wird den wohl hochgeladen haben. Kunden machen seltsame Dinge. Oder Neffen und Nichten von Kunden.
Wobei ich da jetzt nicht paranoid werden würde - die richtig fiesen Junx laden eher gleich eine komplette Webshell hoch.
Gesendet von iPhone mit Tapatalk
FTP-, SSH-, MemberArea-, KAS-Passwörter ändernZitat:
Zitat von Kahmoon