PhpMyAdmin 3.4.9 – Sicherheitsupdate

Stefan 25.12.2011 Confixx, Server, Sicherheit 1 Kommentar

PhpMyAdmin 3.4.9 ist vor wenigen Tagen erschienen und Jede Person sollte schnellst möglichst diese Version installieren!

In allen Versionen inkl. 3.4.8 ist ein Sicherheitsloch, womit man Domain übergreifend ohne Password in die Datenbanken kommt. Ein recht happiger XSS Fix dem Fall.

Der Bug wurde am 7. Dezember entdeckt und bereits am 21. Dezember geschlossen. Aus diesem Grund wurde auch bereits das Proof of Concept am 22. Dezember publiziert, womit diverse Genossen den Bug auf noch nicht aktualisierten Versionen ausnutzen könnten.

Aus dem Grund ist ein Update erst recht ans Herz gelegt!

Weiterhin möchte ich hier noch 2 sehr kleine Tipps zum Besten geben. PhpMyAdmin hat neuerdings noch „neue Funktionen“ welche man gegebenenfalls nicht nutzen möchte. Leider erscheint dann aber immer folgende Meldung:

Der phpMyAdmin-Konfigurationsspeicher ist nicht vollständig konfiguriert, einige erweiterte Funktionen wurden deaktiviert. Klicken Sie hier, um herauszufinden warum.

Dazu öffnet man einfach die main.php im PhpMyAdmin Verzeichnis und geht zur Zeile 298:

if ($server > 0) {

Diese ändert man in:

if ($server > 0 AND 1 == 2) {

Und schon ist die Meldung weg.

Auch gibt es noch die Meldung:

Der Server läuft mit Suhosin. Bitte lesen Sie die Dokumentation wegen möglicher Probleme.

Falls keine Loginprobleme auftreten, die Meldung einfach im Config.inc.php ausblenden mit folgendem Eintrag:

$cfg['SuhosinDisableWarning'] = true;

Ein kleinerer Fehler den gewisse Personen noch sehen:

Ab sofort muss ein geheimes Passwort zur Verschlüsselung inder Konfigurationsdatei gesetzt werden (blowfish_secret).

Für Debian User

Für Euch ist es speziell, ihr fügt wenn nciht schon geschehen folgende Zeile in die /var/lib/phpmyadmin/blowfish_secret.inc.php Datei:

$cfg[‚blowfish_secret‘] = '';

Config config.inc.php shieht man Ende etwa so aus:

<?php

// Load secret generated on postinst
include('/var/lib/phpmyadmin/blowfish_secret.inc.php');

// Load autoconf local config
include('/var/lib/phpmyadmin/config.inc.php');

// Load user’s local config
include('/etc/phpmyadmin/config.inc.php');

// Set the default server if there is no defined
if (!isset($cfg['Servers'])) {
$cfg['Servers'][1]['host'] = 'localhost';
}

// Set the default values for $cfg['Servers'] entries
for ($i=1; (!empty($cfg['Servers'][$i]['host']) || (isset($cfg['Servers'][$i]['connect_type']) && $cfg['Servers'][$i]['connect_type'] == 'socket')); $i++) {
if (!isset($cfg['Servers'][$i]['auth_type'])) {
$cfg['Servers'][$i]['auth_type'] = 'cookie';
}
if (!isset($cfg['Servers'][$i]['host'])) {
$cfg['Servers'][$i]['host'] = 'localhost';
}
if (!isset($cfg['Servers'][$i]['connect_type'])) {
$cfg['Servers'][$i]['connect_type'] = 'tcp';
}
if (!isset($cfg['Servers'][$i]['compress'])) {
$cfg['Servers'][$i]['compress'] = false;
}
if (!isset($cfg['Servers'][$i]['extension'])) {
$cfg['Servers'][$i]['extension'] = 'mysql';
}
}

$cfg[‚DefaultLang‘] = 'de';
$cfg[‚SuhosinDisableWarning‘] = true;
?>

Non-Debian Installationen

Dazu fügt man einfach die Zeile in die config.inc.php von PhpMyAdmin:

$cfg[‚blowfish_secret‘] = '';

Wer mit dem Debian Packet gearbeitet hat (z.B. nach Confixx Anleitung), sollte dieses Mal manuell Updaten!

Immer daran denken die Programme zu updaten, denn dies ist sehr Wichtig!

Ein Kommentar

Anjuschka Frei
30.12.2011 von 14:27:13

Leider geht beim SMS Sender der Kommentar nicht, so bleibt mir nichts anderes übrig, als hier ein Kommentar zu schreiben.
Ich möchte mich herzlich für den SMS Dienst bedanken, ist ne geile Sache und nicht selbsverständlich.
Danke Stefan.

Antworten

IT Blögg Alles rund um einen IT Nerd

Verkaufe 2 meiner Kopter

Projekt Lego Kopter

Drohnen verdunkeln die Sonne

GoPro3 Shutter per Fernbedienung auslösen – Phantom2 mit Zenmuse

PhpMyAdmin 3.4.9 – Sicherheitsupdate

About Stefan

Themenverwandte Artikel

Weitere interessante Artikel

WordPress Datei Integritätsprüfung

Plesk mit Yubikey OTP absichern

Ein Kommentar

Schreibe einen Kommentar Antworten abbrechen