phpMyAdminにセキュリティホール

phpMyAdminはオープンソースのデータベースシステムMySQLの管理用プログラムです。これ自体もオープンソースです。データテーブルの管理やデータベースの作成が知識のある人には容易にできるソフトウェアで、広く使われています。データベース付のホスティングサービスや、レンタルサーバーなどにもよく採用されています。

そのphpMyAdminに脆弱性がみつかり、開発元はアップグレードすることを呼びかけています。(ZDNet記事:phpMyAdminにパッチ:SQLインジェクション、XSSの問題を修正

さて、アップグレードは重要ですが、その前にしておくべき対策もあります。phpMyAdminにアクセスさせないことです。いくつか、対応策をあげておきますので、アップグレードと一緒に検討してみてください。

  • 面倒だからと、ID/パスワードを設定ファイルに組み込まない。(完全にインターネットから切り離された、テストや仮設定以外は、ID/PASSを毎回打ち込むようにする。パスワード保存のオプションが有っても使用しない。)
  • 通信はSSLを通して行う。サーバー証明が無くても、通常のサーバーならSSL通信は可能です。ブラウザに警告文は表示されますが、例外として許可すれば可能です。
  • phpMyAdmin自体をアクセス制限域におく(当然、ホームページからのリンクなどを付けてはいけません。)
  • 使用しなくなったら、削除してしまう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA