2017/01/15 记一次phpmyadmin的漏洞修复

这两天阿里云发短信提醒我的机器安装存在漏洞的phpmyadmin,上控制台一看提醒有这么个提示。

通过CVE编号CVE-2016-6617我找到了官方对于此漏洞的详细说明。
https://www.phpmyadmin.net/security/PMASA-2016-40/
官方给此漏洞的编号是:PMASA-2016-40
对此漏洞的描述是:A vulnerability was reported where a specially crafted database and/or table name can be used to trigger an SQL injection attack through the export functionality.
翻译过来就是,通过特殊的数据库,表名会导致使用导出功能的时候产生SQL注入的漏洞。
所有早于4.6.4之前的版本都会收到此漏洞影响。目前最新版4.6.5已经修复此漏洞,所以直接升级到最新版本的phpmyadmin即可。

值得注意的是,我使用的Ubuntu 16.04 LTS包版本库中提供的最新版是phpmyadmin_4.5.4.1-2ubuntu2,也就是说通过apt-get安装的phpmyadmin仍然存在此漏洞,直接apt-get upgrade并不能解决问题,这也是阿里云提示检测到漏洞的原因。

如果无法确定自己安装的包版本
可通过下列命令查询包版本

修复方案:
方案1:可以登陆phpmyadmin官网https://www.phpmyadmin.net下载最新版的包覆盖安装路径即可。
方案2:对于Ubuntu用户可以使用phpmyadmin官方提供的ppa源,这样就能直接更新到最新的包。
官方提供的安装手册链接:https://docs.phpmyadmin.net/en/latest/setup.html
具体到Ubuntu用户来说,可执行下列命令

由于我希望能尽量使用包管理器解决问题,这样能够长期保持最新版本,所以我选择了方案2。
至此phpmyadmin就更新完毕了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注