phpMyAdmin: Multiple vulnerabilities

今天發現幾台server的phpmyadmin有安全上的漏洞...orz..
隨便輸入個帳號，不用密碼居然也能登錄!!!
雖然沒有database可以操作，但可以改mysql的設定!!

原因是舊版的phpmyadmin在安裝時會加入下面這樣的user..

User -------Host -----Password --- Global privileges --- Grant
Any ----------- % ---------- No ---------------- USAGE ------------- No

把它砍掉後，就安全一點了~
後來我手賤把pma這個帳號也給砍了，結果造成無法登入phpmyadmin... orz..
原來舊版的phpmyadmin(很舊很舊的版本)，預設是透過pma這個user來存取mysql的..
可以在/etc/phpmyadmin/config.inc.php 找到相關設定。
後來從mysql加回pma這個user才又正常...
不過最好的方法應該是更新phpmyadmin版本才對...不過gentoo我還不會用...>,<

reference:
phpMyAdmin: Multiple vulnerabilities
http://www.apachefriends.org/f/viewtopic.php?t=8829