Page 1 of 1
Server4free: root pw ..?!
Posted: 2003-10-06 17:16
by crasline
Liebe Mitglieder von Abserviert4free,
Sollten Sie Kunde bei Server4free sein, so ist dieser Hinweis für Sie wichtig:
Durch ein Sicherheitsleck wird das Rootpasswort ausgelesen!
Jedesmal wenn der Server durch Server4free neu gestartet wird, kann das Root Passwort unverschlüsselt über jede beliebige info.php () als env Variabel gesehen werden! Erst ein Stoppen und Starten des Apaches entfernt diese Variabel.
Das war nach der ersten Neuinstallation so und ist jetzt auch nach jedem reboot so gewesen. Starten die Techniker die Server per Script, oder liegt der Misstand woanders?
Wenn Sie ebenfalls S4free Kunde sind und gestern durch deren Reboot betroffen waren, schauen Sie doch bitte ebenfalls mal mit der info.php oder () auf den Server. Im unteren Bereich unter PHP Variables.
variabel: _ENV["VNCPassword"] : xxxxxxxxx
Wir bedanken uns bei unserem Leser Frederic Schmitz für diesen wichtigen Hinweis.
Redaktion
Abserviert4free
Ich hab zwar keine Ahnung warum ich da Mitglied bin, aber denke nicht das die da was dagegen haben .. und ich denk mal schon das ein paar Server4free Leutz hier sind, die das vielleicht interessiert ..
Re: Server4free: root pw ..?!
Posted: 2003-10-06 17:40
by l4a-shadow
ist nur gut, dass ich den apache immer nochmal restarte, weil ich was am Vhost ändern muss.
Re: Server4free: root pw ..?!
Posted: 2003-10-06 20:38
by luke
Hallo und danke erstmal für den Hinweis. Allerdings habe ich eine kleine Korrektur dazu. Es handelt sich (zumindest ist dies bei mir der Fall) nicht um das Root-Passwort, sondern um das "Confixx Aministrator-Passwort" bzw. um das "Confixx MySQL-Passwort". Natürlich ist es schon schimm genug, dass dort überhaupt ein Passwort im Klartext angezeigt wird. Mich wundert es so oder so jedes mal warum im Administrationsmenü von Server4Free die Passwörter im Klartext angezeit werden, auch wenn dieser Bereich selbst passwortgeschützt ist.
So far!
#
Lukas
Re: Server4free: root pw ..?!
Posted: 2003-10-06 20:48
by crasline
du, kann ich dir nicht sagen welches pw das ist .. ich hab keinen s4f :)
Aber root pw bleibt (fast) root pw .. ob das normale oder das MySQL root Passwort. Das Confixx-Mysql-PW ist nämlich das mysql root pw ..
Re: Server4free: root pw ..?!
Posted: 2003-10-06 21:05
by s4fuser
Es ist das ursprüngliche PW für das Kundenmenü von S4F (Confixx). Dieses sollte man ja sowieso beim ersten Login ändern. Von daher ist es kein Problem.
Trotzdem sollte so etwas nicht passieren.
Re: Server4free: root pw ..?!
Posted: 2003-10-06 21:15
by luke
Crasline wrote:
Aber root pw bleibt (fast) root pw .. ob das normale oder das MySQL root Passwort. Das Confixx-Mysql-PW ist nämlich das mysql root pw ..
Bei mir ist Confixx-mysql pw ist bei nicht das selbe wie für den mysql root.
s4fuser wrote:Es ist das ursprüngliche PW für das Kundenmenü von S4F (Confixx). Dieses sollte man ja sowieso beim ersten Login ändern. Von daher ist es kein Problem.
Wenn man ein anderes einträgt wird das IMHO auch angezeigt, da gespeichert. CMIIAW.
So far!
#
Lukas
Re: Server4free: root pw ..?!
Posted: 2003-10-06 21:19
by s4fuser
luke wrote:Wenn man ein anderes einträgt wird das IMHO auch angezeigt, da gespeichert.
Hmm, bei mir nicht.
Ich rede übrigens von dem Passwort für
https://admin.server4free.de/.
luke wrote:CMIIAW
Wie meinen?
Re: Server4free: root pw ..?!
Posted: 2003-10-06 21:27
by luke
s4fuser wrote:luke wrote:Wenn man ein anderes einträgt wird das IMHO auch angezeigt, da gespeichert.
Hmm, bei mir nicht.
Ich rede übrigens von dem Passwort für
https://admin.server4free.de/.
Ja klar, das wird aber auf der phpinfo auch nicht gezeigt. Das Passwort habe ich natürlich geändert, aber im Kundeninterface steht es (das aktuelle Passwort) trotzdem unter "Vertrags- und Serverdaten".
s4fuser wrote:
luke wrote:CMIIAW
Wie meinen?
correct me if I am wrong.
BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
So far!
#
Lukas
Re: Server4free: root pw ..?!
Posted: 2003-10-07 13:13
by crasline
Aber der Confixx User ist ja fast der root mysql user .. confixx kann ja auch db anlegen und vor allem auch löschen ..
Re: Server4free: root pw ..?!
Posted: 2003-10-07 13:54
by luke
Crasline wrote:Aber der Confixx User ist ja fast der root mysql user .. confixx kann ja auch db anlegen und vor allem auch löschen ..
Das schon, allerdings hat der Benutzer "conifixx" keinen Zugriff auf die Tabelle "mysql", in der Stehen z.B. die ganzen Benutzerdaten für PhpMyadmin. Aber lassen wir das, da wird ein Passwort im Klartext für alle zugänglich gemacht und das ist schon schlimm genug. :-(
So far!
#
Lukas
Re: Server4free: root pw ..?!
Posted: 2003-10-07 19:12
by /dev/null
luke wrote:BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
MySQL-User ungleich Systemuser...
Code: Select all
mysqladmin -u confixx password <passwort>
Aber wo du das in der Confixx-Konfiguration umbiegen musst weiss ich ned... :-/
Re: Server4free: root pw ..?!
Posted: 2003-10-07 19:25
by luke
/dev/null wrote:luke wrote:BTW, kann mir gerade jemand sagen wo für den User "confixx" das mysql Passwort geändert werden kann, ein regulärer User scheint es nicht zu sein.
MySQL-User ungleich Systemuser...
Code: Select all
mysqladmin -u confixx password <passwort>
Aber wo du das in der Confixx-Konfiguration umbiegen musst weiss ich ned... :-/
Danke, ich habe es gefunden, stand in der db "mysql" drin.
Und nun wieder zurück zum Thema. ;-)