漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可致使GETSHELL

时间  2019-12-06
标签 漏洞 阿里 phpmyadmin 4.8.1 后台 checkpagevalidity 函数 缺陷 致使 getshell 栏目 阿里巴巴 繁體版
原文   原文链接

阿里云盾提示phpMyAdmin <=4.8.1会出现漏洞有被SHELL风险,具体漏洞提醒:php

标题

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可致使GETSHELLnginx

简介

checkPageValidity函数对外部输入过滤不严,可致使本地包含任意文件。进一步地攻击者可经过注入代码到特定文件进行包含形成远程代码执行。bash

阿里云盾漏洞

这个漏洞,将phpmyadmin升级到最新版便可解决。服务器

查看兼容性:

phpmyadmin查看最新版与MySQL和PHP版本的兼容性
当前phpmyadmin最新版为4.8.2,兼容PHP 5.5 ~ 7.2MySQL 5.5及以上,我这个服务器是PHP7.1.18MariaDb10.1.33因此直接升级到最新版就能够了。
由于lnmp1.5提供了升级脚本,直接升级便可。函数

 

 
 
cd lnmp1.5
./upgrade.sh phpmyadmin
 

 

会跳转一下,输入版本号:网站
 

 

 
 
You can get version number from https://www.phpmyadmin.net/downloads/
Please enter phpMyAdmin version you want, (example: 4.8.0 ): 4.8.2
 

 

而后就升级完成了,再去阿里云里面验证一下漏洞,漏洞已失效。阿里云
 

注意:
 

     
 
  1. 若是你修改了nginx网站目录的位置,你须要修改一下lnmp配置文件root/lnmp1.5/lnmp.conf,将下面这里的路径改为你服务根目录的路径。
    2.  

 

 

 
 
Default_Website_Dir='/home/wwwroot/default'
 

 

     
 
  1. 若是你修改了phpmyadmin的目录名称,你须要修改升级所用的脚本文件/root/lnmp1.5/include/upgrade_phpmyadmin.sh,将脚本中的${Default_Website_Dir}/phpmyadmin/这样的路径所有改为${Default_Website_Dir}/你的phpmyadmin文件夹名/
    2.  

 

这样才能够升级成功,以上使用的是lnmp1.5版本,感谢军哥。spa


        

            

        	





    

		

            
相关文章

            

                

                

                    

                

            


            
相关标签/搜索

            
        


    

        

            

        

        

        
        

        

        

    




	

    





    

    	

    

        每日一句
    

    
    
    	每一个你不满意的现在,都有一个你没有努力的曾经。
    







    

    


    



    

        本站公众号
    

    

           欢迎关注本站公众号,获取更多信息

        
    




    

    




	


	







    

        联系我们
        最近搜索
        最新文章
        
        沪ICP备13005482号-10

            MyBatis教程
            SQL 教程
            MySQL教程
            Java 教程
            Thymeleaf 教程
            Hibernate教程
            Spring教程 
            Redis教程