http://www.heise.de/newsticker/meldung/MySQL-Datenbank-Zugang-auch-ohne-Passwort-1614987.html

Bei meinem LTS geht es, also phpmyadmin verstecken und das Paket gut beobachten..

Kann eigentlich nicht sein, wenn du Mysql über die Paketverwaltung installiert hast.
Mach mal im terminal "dpkg -l |grep mysql-server-5.1" und sag mal die Version.

Bei Debian Squeeze mit Version 5.1.61-0+squeeze1 bekommt man mit dem Befehl for i in `seq 1 1000`;do /usr/bin/mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done keine Mysql Konsole.
Auch wenn 5.1.61 laut Heise davon betroffen sein soll, was mich irritiert. Aber Ubuntu ist auf 5.1.63 und damit davon nicht betroffen.

Davon abgesehen:
Wenn Phpmyadmin aus dem Internet erreichbar ist, sollte es ausnahmslos immer mit einer zusätzlichen Authentifizierung auf HTTP-Ebene geschützt werden. So dass man ohne Eingabe von korrektem Passwort erst gar nicht zur Anmeldemaske von Phpmyadmin kommt.
Phpmyadmin ist ein notorisches Sicherheitsloch, auch unabhängig von Fehlern in Mysql.

Wer phpmyadmin auf einem richtigen Server einsetzt, hat eh was an der Waffel. Ein Großteil der Versuche, die auf einem Server mit php laufen, suchen nach phpmyadmin - jedenfalls, wenn ich mir so die Zugriffslogs anschaue. Und irgendeine Lücke in php gibts immer, die man nutzen kann, um reinzukommen.

Mich würde aber trotzdem die Version von /dev/NULL interessieren.