Prostřednictvím tohoto článku bychom Vás chtěli upozornit na možné zneužití nástroje Adminer ve verzi 3.7.1 a starších verzích. Tvůrce nástroje Adminer Jakub Vrána zveřejnil na svém Twitter účtu informaci o možném zneužití Admineru ve verzi 3.7.1 a předchozích verzích, kde se útočníkovi podařilo do souboru jush.js, který se do této verze ještě stahoval z adminer.org, vložit kód, který utočníkovi odesílal přihlašovací údaje k databázím jednotlivých uživatelů.
Jak postupovat v případě, že využíváte verzi Adminer 3.7.1 nebo starší?
Prvním krokem je třeba stáhnout novou verzi nástroje Adminer – to můžete provést přímo ze stránek https://www.adminer.org/ kde v sekci Stažení je k dispozici aktuální verze 4.7.8. Předcházející verzi Admineru z hostingu odstraňte a nahrajte novou staženou verzi. Dále třeba provést změnu hesel pro přístup k mysql databázím. Tuto změnu je možné provést přímo v administraci hostingu na adrese https://admin.gigaserver.cz, sekce administrace, databáze. Zároveň po změně hesla u jednotlivých přístupů k databázím je třeba změnit heslo v konfiguračních souborech (většinou se jedná o soubor config.php umístěny na FTP serveru hostingu). Zároveň ověřte, zda používané heslo pro mysql databáze nepoužíváte i pro jiné přístupy – např. přístup k e-mailovým schránkám nebo k FTP účtům. Pokud jste toto heslo používali i u jiných služeb tak jej neprodleně změňte.
Na základě uvedené situace jsme postupně kontaktovali všechny naše zákazníky u kterých jsme identifikovali, že na našich serverech používají uvedenou verzi 3.7.1 nebo starší verzi Admineru, aby provedli změnu hesel a aktualizovali stávající zastaralou verzi Admineru.
V našem případě se jednalo o několik desítek uživatelů, kde mohlo dojít ke zneužití. Při kontrole použitých verzí jsme zjistili, že většina nainstalovaných verzí na našich serverech nástroje Adminer je novější než je zmiňovaná verze 3.7.1, nicméně i přesto doporučujeme aktualizovat nástroj na aktuální verzi 4.7.8, kterou na našich serverech využívá velmi malé množství uživatelů.
A co je to ten Adminer?
Adminer (dříve phpMinAdmin) je nástroj umožňující prostřednictvím webového rozhraní jednoduchou správu databází. Adminer zvládá jak MySQL databáze tak v novějších verzích i Adminer je k dispozici i pro MariaDB, PostgreSQL, SQLite, MS SQL, Oracle, Firebird, SimpleDB, Elasticsearch
a MongoDB. Porovnání phpMyAdminu a Admineru je možné nalézt zde.
Jedná se tedy o jednoduchou alternativu k phpMyAdminu, kdy Adminer je vůči phpMyAdminu v některých případech jednodušší a rychlejší pro správu databází.
Potřebujete poradit?
Pokud si ohledně možného zneužití nejste jistí, popřípadě pokud nevíte jakou verzi Admineru používáte, můžete kontaktovat i naší zákaznickou podporu, kde Vám rádi poradíme. Zákaznická podpora je k dispozici NONSTOP a je možné nás kontaktovat prostřednictvím on-line chatu, telefonicky na čísle + 420 774 151 730 nebo e-mailem na info@gigaserver.cz