Journal Un miroir SourceForge a été compromis

Posté par .
Tags :
32
26
sept.
2012

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.

Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.

NdM : journal promu en dépêche.

  • # Encore !

    Posté par . Évalué à -10.

    Après l'histoire de la compromission des mot de passe utilisateurs, la backdoor dans PhpMyAdmin. Une vraie passoire ce Sourceforge..

    On sait a quelles infos les attaquants on pu avoir accès au travers de ce phpmyadmin ? (en passant ca fait vachement sérieux d'utiliser ce machin, de suite ca montre le niveau des gonzes)

    • [^] # Re: Encore !

      Posté par (page perso) . Évalué à 10.

      de suite ca montre le niveau des gonzes

      Vu que t'as rien compris, j'aurai tendance à dire que ca doit plutôt montrer ton niveau… Ce n'est pas eux qui utilisent PhpMyAdmin, c'est le paquet hébergé qui est corrompu.

      Et phpmyadmin est un bon outil pour faire faire de la saisie dans un SGBD pour des gens ne connaissant pas SQL. Je m'en sers ici par exemple pour gérer la Db DHCP/DNS.

      Et je dirais que même pour moi, je le trouve pratique à l'usage…

    • [^] # Re: Encore !

      Posté par . Évalué à 6.

      en passant ca fait vachement sérieux d'utiliser ce machin, de suite ca montre le niveau des gonzes

      Tu peux nous donner l'URL (sourceforge?) du gestionnaire SQL (révolutionnaire) que tu as codé ?

      • [^] # Re: Encore !

        Posté par (page perso) . Évalué à 2.

        Bonjour,

        j'utilise le paquet mysql-admin après avoir éventuellement créé un tunnel ssh.

        Ainsi, j'ai pas besoin d'installer phpmyadmin.

        Il faut vraiment être désespéré pour utiliser une interface web.

        Bonne journée
        G

        • [^] # Re: Encore !

          Posté par . Évalué à 10.

          Il faut vraiment être désespéré pour utiliser une interface web.

          Pour quelle raison en fait, à part la suffisance ?

          • [^] # Re: Encore !

            Posté par . Évalué à 2. Dernière modification le 27/09/12 à 00:53.

            Bah il a quand même pas tort. Si un client lourd est disponible, et que l'on peut l'installer sur son poste, c'est à privilégier sur une interface web non ? Question de réactivité. Après, l'avantage d'une solution web c'est qu'elle sera disponible depuis à peu près n'importe quel poste. Donc on est pas perdu si on est pas sur sa babasse perso/attitrée pour administrer sa base de données.

        • [^] # Re: Encore !

          Posté par (page perso) . Évalué à 7.

          Il faut vraiment être désespéré pour utiliser une interface web.

          FEAR!!! Comment t'as l'air de trop assurer toi!

  • # zip & tgz

    Posté par (page perso) . Évalué à 10.

    « We currently know only about phpMyAdmin-3.5.2.2-all-languages.zip being affected […] »

    Bah, qui peut bien télécharger des zip ici ;-) ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.