Geeknet Inc., firma zajmująca się hostingiem wolnego i otwartego oprogramowania na platformie SourceForge, zaalarmowała o groźnym backdorze w znanej aplikacji phpMyAdmin. Okazuje się, że narzędzie do zarządzania bazą danych w przeglądarce internetowej, posiada backdoora w oficjalnych plikach, dostępnych na serwerze. Został on zlokalizowany w archiwum instalacyjnym phpMyAdmin-3.5.2.2-all-languages.zip, w skrypcie server_sync.php.
Luka pozwala atakującym na wstrzyknięcie zmodyfikowanej komendy PHP na serwer. Okazuje się także, że zmanipulowano również plik js/cross_framing_protection.js, jednakże deweloperzy nie podali nic o zagrożeniach z tej strony. SourceForge poinformowało o ponad 400 pobranych kopiach do czasu wykrycia backdoora.
Brakuje najistotniejszej informacji: zmodyfikowanie plików dotyczy TYLKO JEDENGO MIRRORA.
Wystarczyło więc sprawdzić sumę md5 by wykryć problem. Sumy oczywiście są na stronie głównej projektu, do której nikt niepowołany nie maił dostępu. Podobnie jak do setek innych serwerów lustrzanych.
Wszystko pieknie ladnie – ale kto "zawsze" sprawdza sumy ? szczegolnie przy samodzielnym popbieraniu zrodel ? – inna sprawa ze przydaloby sie jakies automagiczne narzedzie do tego skrypt/program ktory by taka funkcjonalnosc ogarnial
md5sum -c :P
[…] służące do łatwego zarządzania bazą danych MySQL, czyli phpMyAdmin posiadał groźnego backdoora. Luka pozwalała atakującym, na wstrzyknięcie zmodyfikowanej komendy PHP na serwer. […]