phpMyAdminはオープンソースのデータベースシステムMySQLの管理用プログラムです。これ自体もオープンソースです。データテーブルの管理やデータベースの作成が知識のある人には容易にできるソフトウェアで、広く使われています。データベース付のホスティングサービスや、レンタルサーバーなどにもよく採用されています。
そのphpMyAdminに脆弱性がみつかり、開発元はアップグレードすることを呼びかけています。(ZDNet記事:phpMyAdminにパッチ:SQLインジェクション、XSSの問題を修正)
さて、アップグレードは重要ですが、その前にしておくべき対策もあります。phpMyAdminにアクセスさせないことです。いくつか、対応策をあげておきますので、アップグレードと一緒に検討してみてください。
- 面倒だからと、ID/パスワードを設定ファイルに組み込まない。(完全にインターネットから切り離された、テストや仮設定以外は、ID/PASSを毎回打ち込むようにする。パスワード保存のオプションが有っても使用しない。)
- 通信はSSLを通して行う。サーバー証明が無くても、通常のサーバーならSSL通信は可能です。ブラウザに警告文は表示されますが、例外として許可すれば可能です。
- phpMyAdmin自体をアクセス制限域におく(当然、ホームページからのリンクなどを付けてはいけません。)
- 使用しなくなったら、削除してしまう。