影響を受ける環境
- phpMyAdminを使用しており
- 外部からアクセス可能であること
- phpMyAdminのバージョンが3.3.10.2未満または3.4.3.1未満であること
2の「外部からアクセス可能であること」というのは、レンタルサーバーの場合、あり得るだろうか? 自分が借りているサーバーの phpMyAdmin のバージョンは調べた方がいいですね。
phpMyAdminの脆弱性を狙った攻撃被害が発生、ラックが注意喚起 -INTERNET Watch
株式会社ラックは16日、phpMyAdminの脆弱性を狙った攻撃による被害相談が複数寄せられているとして、注意喚起を発表した。
phpMyAdminは、オープンソースデータベース「MySQL」をウェブブラウザーを管理するためのPHPで実装されたツール。ラックでは、古いバージョンのphpMyAdminには、「CVE-2011-2505」「CVE-2011-2506」の脆弱性を組み合わせることで任意のコードが実行可能になる脆弱性があり、この脆弱性を狙った攻撃による被害相談が同社の緊急対応サービス「サイバー119」に複数寄せられているという。
この脆弱性による攻撃の影響を受ける環境としては、phpMyAdminを使用しており、外部からアクセス可能であること、phpMyAdminのバージョンが3.3.10.2未満または3.4.3.1未満であることが条件となる。
ラックでは対策として、phpMyAdminのバージョンを3.3.10.2または3.4.3.1以上にアップグレードすること(現在の最新版は3.4.8)を挙げている。また、phpMyAdminは通常外部に公開する必要はないため、外部からアクセス可能な状態になっていないかを確認することも推奨している。
小粋空間さんで Movable Type で「~」が「?」に文字化けする事象や日本語のタグが合算できない不具合を解消する といことで注意点が書かれています。私が借りている さくらインターネット を利用している場合は注意が必要です。
Movable Type で MySQL 5を利用している際に、
- ブログ本文などに含まれる「~」という文字などが「?」に文字化けする
- 日本語のタグが合算できない(Aブログ記事とBブログ記事に同じ日本語のタグを付与した場合、タグ一覧などで2件とならず、それぞれ1件として表示される)
といった不具合を解消する方法が紹介されています。
さっそく、phpMyAdmin で修正しておきました。
【追記 2010/07/12】
「さくらインターネット」で注意、と書きましたが、私自身は、さくらインターネットを使っていますが文字化けは経験したこと無いのでなんとも言えません。もしかすると、さくらインターネットは大丈夫かもしれませんので、文字化けしたら、対処して下さい、としか言えません。
図書館(江別市情報図書館)で借りて読んでみました。知らなかった事もいろいろ書かれていて勉強になりました。ローカル環境へのインストールという事で、XAMPP のダウンロードとインストールについて書かれていて勉強になりました。phpMyAdmin によるデーターの扱い方についても書かれています。Gravatar の登録と利用についても書かれています。ウィジェットを使ったカスタマイズについても書かれていましたが、ウィジェット自体を書き換える事はできないのだろうか? という疑問は解消されなかった。Movable Type の場合は、可能だが。WordPress の場合は、できるのであろうか、できないのであろうか? パーミッションなんかの設定についても適切な説明がされているように感じました。パーミッションの設定は、初心者が一番つまずくところでもあります。そういう意味で親切です。
こういう本が、公立図書館にあると、実にありがたいです。本来なら、自分で購入すべきなのでしょうが、必要な本を全部購入もできないので図書館にある事は非常に便利です。
ただ、バージョンが 2.2 について書かれていることは致し方ないのかもしれないですが、現実はずっと進んでいて、今現在利用できるバージョンは、2.3.2 この四月(2008年)には、2.5 が出ることがアナウンスされていますから、書籍の方も、新しいものがほしくなります。
次の、3つのツールについても書かれているので、重要ですのでここにリンクをしておきます。ブログをカスタマイズするには欠かせないツールです。
◆apache friends – xampp for windows
ローカル環境へのインストールのために。
◆Webdeveloperのダウンロード:ミナトラボ
Web Developerとは、ウェブ制作を補助する拡張機能です。拡張機能は、Firefox のツールバーとして組み込まれます。
◆Devas
Devas(ディーヴァス)は、テキスト検索/置換ソフトです。
- まず、データーをバックアップしました。WordPress の管理画面から「エクスポート」を使う。更に、MySQL のデーターを phpMyAdmin を使ってバックアップします。
- プラグインをすべて停止しました。「メンテナンス・モード」のプラグインを入れてある場合は、それだけ有効にして、「メンテナンス・モード」にもしておきます。
- すべて上書きでアップしました。
- /wp-admin/upgrade.php にアクセスして確認(これは、念のためです)。
- プラグインを「利用」するに戻す。
- 「メンテナンス・モード」を解除します。
- もし、「wp-cache」を入れてあるなら、キャッシュを空にします。
- カレンダーのキャプションを日本式に(2007年10月のように)するため、wp-includes/general-template.php の547行目を
<caption>’ . date(‘Y年’, $unixmonth) . ‘ ‘ . $wp_locale->get_month($thismonth) . ‘</caption>
のように変えた。
これで、すべて完了です。うまくいきました。詳しくは、
・Upgrading WordPress を一通り読んでおくことをお勧めします。
年末の大晦日にバージョンがアップするのも、いかにも外国製のブログツールです。日本ではあり得ないスケジュールです。
今は、正常にアクセスできていますが、アクセスできなかった顛末です。
私のブログの管理画面にアクセスできなくなりました。WordPress で出来ているのでプラグインの障害(影響)で管理画面にアクセスできないのか? と考えました。FFFTP でプラグインを全部削除してもう一度試みましたがダメでした。2007/12/04 までは何ら問題ありませんでした。次の日、2007/12/05 からアクセスが全く出来ない状態に陥りました。
原因を考えていましたが、よくわからず、試行錯誤しかないと思い、まず MySQL を疑いました。何らかの原因でこの MySQL データーベースにトラブルが発生してアクセスできないのではないか、と考えました。phpMyAdmin で調べたが、素人にはわからずあきらめました。MySQL を削除してもう一度構築し直したらどうだろうか、と考えました。phpMyAdmin でバックアップしておけばよかったのですが、データーベースが壊れているものと思いこんでいましたから、バックアップせず。バックアップしても使えないと思いこんでいました。
MySQL を削除して再構築してみました。が、それでも、今度は、WordPress がインストールできなくなりました。ここで、ギブアップして、レンタルサーバー会社に問い合わせました。MySQL は、問題ないとのこと。ますます原因がわからなくなりました。何度かメールでやり取りしたあと、次のことが告げられました。
ステップサーバーがサーバー負荷対策として導入しているPHPのメモリ消費制限設定により、インストール手続きが中断してしまう問題が発生していたようです。
弊社にて、メモリ消費制限を緩和させて頂きましたので、現在は正常にインストール手続き頂く事は可能かと思われます。
原因がわかったからいいようなものですが、「PHPのメモリ消費制限設定」とは、素人にはわかるはずもありません。
WordPress は、php のかたまりで、メモリーをたくさん消費するのでしょうか?! 結局、今までの記事を一から打ち直す羽目になってしまいました。phpMyAdmin でバックアップしていれば、一発で元に戻っていたのですが。
[追記 2007/12/15]
今までの個別の記事のアドレスが、かなりの部分ずれが生じています! お気をつけ下さい。