2017-01-15 记一次 phpmyadmin 的漏洞修复

这两天阿里云发短信提醒我的机器安装存在漏洞的phpmyadmin,上控制台一看提醒有这么个提示。

我通过CVE编号CVE-2016-6617找到了官方对于此漏洞的详细说明。
链接:https://www.phpmyadmin.net/security/PMASA-2016-40/
官方给此漏洞编号:PMASA-2016-40
对此漏洞的描述是:A vulnerability was reported where a specially crafted database and/or table name can be used to trigger an SQL injection attack through the export functionality.
翻译过来就是,可以通过使用特制的数据库(和/或)表名通过导出功能触发SQL注入攻击。
所有早于4.6.4之前的版本都会收到此漏洞影响。
目前最新版4.6.5已经修复此漏洞,所以直接升级到最新版本的phpmyadmin即可。
值得注意的是,我使用的Ubuntu 16.04 LTS包版本库中提供的最新版是phpmyadmin_4.5.4.1-2ubuntu2。
也就是说通过apt-get安装的phpmyadmin仍然存在此漏洞,因此直接apt-get upgrade并不能解决问题,这也是阿里云提示检测到漏洞的原因。
如果无法确定自己安装的包版本 可通过下列命令查询包版本

1
2
3
dpkg -s phpmyadmin
#或者
dpkg -s phpmyadmin | grep "Version"

修复方案: 登陆phpmyadmin官网https://www.phpmyadmin.net下载最新版的包覆盖安装路径即可。
如有问题请参考官方提供的安装手册。
链接:https://docs.phpmyadmin.net/en/latest/setup.html