Sollten Sie Kunde bei Server4free sein, so ist dieser Hinweis für Sie wichtig:
Durch ein Sicherheitsleck wird das Rootpasswort ausgelesen!
Jedesmal wenn der Server durch Server4free neu gestartet wird, kann das Root Passwort unverschlüsselt über jede beliebige info.php () als env Variabel gesehen werden! Erst ein Stoppen und Starten des Apaches entfernt diese Variabel.
Das war nach der ersten Neuinstallation so und ist jetzt auch nach jedem reboot so gewesen. Starten die Techniker die Server per Script, oder liegt der Misstand woanders?
Wenn Sie ebenfalls S4free Kunde sind und gestern durch deren Reboot betroffen waren, schauen Sie doch bitte ebenfalls mal mit der info.php oder () auf den Server. Im unteren Bereich unter PHP Variables.
variabel: _ENV["VNCPassword"] : xxxxxxxxx
Wir bedanken uns bei unserem Leser Frederic Schmitz für diesen wichtigen Hinweis.
Redaktion
Abserviert4free
Ich hab zwar keine Ahnung warum ich da Mitglied bin, aber denke nicht das die da was dagegen haben .. und ich denk mal schon das ein paar Server4free Leutz hier sind, die das vielleicht interessiert ..
Hallo und danke erstmal für den Hinweis. Allerdings habe ich eine kleine Korrektur dazu. Es handelt sich (zumindest ist dies bei mir der Fall) nicht um das Root-Passwort, sondern um das "Confixx Aministrator-Passwort" bzw. um das "Confixx MySQL-Passwort". Natürlich ist es schon schimm genug, dass dort überhaupt ein Passwort im Klartext angezeigt wird. Mich wundert es so oder so jedes mal warum im Administrationsmenü von Server4Free die Passwörter im Klartext angezeit werden, auch wenn dieser Bereich selbst passwortgeschützt ist.
Es ist das ursprüngliche PW für das Kundenmenü von S4F (Confixx). Dieses sollte man ja sowieso beim ersten Login ändern. Von daher ist es kein Problem.
Crasline wrote:
Aber root pw bleibt (fast) root pw .. ob das normale oder das MySQL root Passwort. Das Confixx-Mysql-PW ist nämlich das mysql root pw ..
Bei mir ist Confixx-mysql pw ist bei nicht das selbe wie für den mysql root.
s4fuser wrote:Es ist das ursprüngliche PW für das Kundenmenü von S4F (Confixx). Dieses sollte man ja sowieso beim ersten Login ändern. Von daher ist es kein Problem.
Wenn man ein anderes einträgt wird das IMHO auch angezeigt, da gespeichert. CMIIAW.
Ja klar, das wird aber auf der phpinfo auch nicht gezeigt. Das Passwort habe ich natürlich geändert, aber im Kundeninterface steht es (das aktuelle Passwort) trotzdem unter "Vertrags- und Serverdaten".
s4fuser wrote:
luke wrote:CMIIAW
Wie meinen?
correct me if I am wrong.
BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
Crasline wrote:Aber der Confixx User ist ja fast der root mysql user .. confixx kann ja auch db anlegen und vor allem auch löschen ..
Das schon, allerdings hat der Benutzer "conifixx" keinen Zugriff auf die Tabelle "mysql", in der Stehen z.B. die ganzen Benutzerdaten für PhpMyadmin. Aber lassen wir das, da wird ein Passwort im Klartext für alle zugänglich gemacht und das ist schon schlimm genug. :-(
luke wrote:BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
luke wrote:BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
