漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

阿里云盾提示phpMyAdmin <=4.8.1会出现漏洞有被SHELL风险,具体漏洞提醒:

标题

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

简介

checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。

阿里云盾漏洞

这个漏洞,将phpmyadmin升级到最新版即可解决。

查看兼容性:

phpmyadmin查看最新版与MySQL和PHP版本的兼容性
当前phpmyadmin最新版为4.8.2,兼容PHP 5.5 ~ 7.2MySQL 5.5及以上,我这个服务器是PHP7.1.18MariaDb10.1.33所以直接升级到最新版就可以了。
因为lnmp1.5提供了升级脚本,直接升级即可。

cd lnmp1.5
./upgrade.sh phpmyadmin

会跳转一下,输入版本号:

You can get version number from https://www.phpmyadmin.net/downloads/
Please enter phpMyAdmin version you want, (example: 4.8.0 ): 4.8.2

然后就升级完成了,再去阿里云里面验证一下漏洞,漏洞已失效。

注意:

  1. 如果你修改了nginx网站目录的位置,你需要修改一下lnmp配置文件root/lnmp1.5/lnmp.conf,将下面这里的路径改成你服务根目录的路径。
Default_Website_Dir='/home/wwwroot/default'
  1. 如果你修改了phpmyadmin的目录名称,你需要修改升级所用的脚本文件/root/lnmp1.5/include/upgrade_phpmyadmin.sh,将脚本中的${Default_Website_Dir}/phpmyadmin/这样的路径全部改成${Default_Website_Dir}/你的phpmyadmin文件夹名/

这样才可以升级成功,以上使用的是lnmp1.5版本,感谢军哥。

发表评论

电子邮件地址不会被公开。 必填项已用*标注