PhpMyAdmin 3.4.9 – Sicherheitsupdate

~2 Min. Lesezeit

PhpMyAdmin 3.4.9 ist vor wenigen Tagen erschienen und Jede Person sollte schnellst möglichst diese Version installieren!

In allen Versionen inkl. 3.4.8 ist ein Sicherheitsloch, womit man Domain übergreifend ohne Password in die Datenbanken kommt. Ein recht happiger XSS Fix dem Fall.

Der Bug wurde am 7. Dezember entdeckt und bereits am 21. Dezember geschlossen. Aus diesem Grund wurde auch bereits das Proof of Concept am 22. Dezember publiziert, womit diverse Genossen den Bug auf noch nicht aktualisierten Versionen ausnutzen könnten.

Aus dem Grund ist ein Update erst recht ans Herz gelegt!

Weiterhin möchte ich hier noch 2 sehr kleine Tipps zum Besten geben. PhpMyAdmin hat neuerdings noch „neue Funktionen“ welche man gegebenenfalls nicht nutzen möchte. Leider erscheint dann aber immer folgende Meldung:

Der phpMyAdmin-Konfigurationsspeicher ist nicht vollständig konfiguriert, einige erweiterte Funktionen wurden deaktiviert. Klicken Sie hier, um herauszufinden warum.

Dazu öffnet man einfach die main.php im PhpMyAdmin Verzeichnis und geht zur Zeile 298:

if ($server > 0) {

Diese ändert man in:

if ($server > 0 AND 1 == 2) {

Und schon ist die Meldung weg.

Auch gibt es noch die Meldung:

Der Server läuft mit Suhosin. Bitte lesen Sie die Dokumentation wegen möglicher Probleme.

Falls keine Loginprobleme auftreten, die Meldung einfach im Config.inc.php ausblenden mit folgendem Eintrag:

$cfg['SuhosinDisableWarning'] = true;

Ein kleinerer Fehler den gewisse Personen noch sehen:

Ab sofort muss ein geheimes Passwort zur Verschlüsselung inder Konfigurationsdatei gesetzt werden (blowfish_secret).

Wer mit dem Debian Packet gearbeitet hat (z.B. nach Confixx Anleitung), sollte dieses Mal manuell Updaten!

Immer daran denken die Programme zu updaten, denn dies ist sehr Wichtig!