Über den Author / Internet / Server / Confixx / PhpMyAdmin 3.4.9 – Sicherheitsupdate

PhpMyAdmin 3.4.9 – Sicherheitsupdate

Stefan 25.12.2011 Confixx, Server, Sicherheit 1 Kommentar

~2 Min. Lesezeit

PhpMyAdmin 3.4.9 ist vor wenigen Tagen erschienen und Jede Person sollte schnellst möglichst diese Version installieren!

In allen Versionen inkl. 3.4.8 ist ein Sicherheitsloch, womit man Domain übergreifend ohne Password in die Datenbanken kommt. Ein recht happiger XSS Fix dem Fall.

Der Bug wurde am 7. Dezember entdeckt und bereits am 21. Dezember geschlossen. Aus diesem Grund wurde auch bereits das Proof of Concept am 22. Dezember publiziert, womit diverse Genossen den Bug auf noch nicht aktualisierten Versionen ausnutzen könnten.

Aus dem Grund ist ein Update erst recht ans Herz gelegt!

Weiterhin möchte ich hier noch 2 sehr kleine Tipps zum Besten geben. PhpMyAdmin hat neuerdings noch „neue Funktionen“ welche man gegebenenfalls nicht nutzen möchte. Leider erscheint dann aber immer folgende Meldung:

Der phpMyAdmin-Konfigurationsspeicher ist nicht vollständig konfiguriert, einige erweiterte Funktionen wurden deaktiviert. Klicken Sie hier, um herauszufinden warum.

Dazu öffnet man einfach die main.php im PhpMyAdmin Verzeichnis und geht zur Zeile 298:

if ($server > 0) {

Diese ändert man in:

if ($server > 0 AND 1 == 2) {

Und schon ist die Meldung weg.

Auch gibt es noch die Meldung:

Der Server läuft mit Suhosin. Bitte lesen Sie die Dokumentation wegen möglicher Probleme.

Falls keine Loginprobleme auftreten, die Meldung einfach im Config.inc.php ausblenden mit folgendem Eintrag:

$cfg['SuhosinDisableWarning'] = true;

Ein kleinerer Fehler den gewisse Personen noch sehen:

Ab sofort muss ein geheimes Passwort zur Verschlüsselung inder Konfigurationsdatei gesetzt werden (blowfish_secret).

Für Debian User
Für Euch ist es speziell, ihr fügt wenn nciht schon geschehen folgende Zeile in die /var/lib/phpmyadmin/blowfish_secret.inc.php Datei:

$cfg[‚blowfish_secret‘] = '';

Config config.inc.php shieht man Ende etwa so aus:

<?php

// Load secret generated on postinst
include('/var/lib/phpmyadmin/blowfish_secret.inc.php');

// Load autoconf local config
include('/var/lib/phpmyadmin/config.inc.php');

// Load user’s local config
include('/etc/phpmyadmin/config.inc.php');

// Set the default server if there is no defined
if (!isset($cfg['Servers'])) {
$cfg['Servers'][1]['host'] = 'localhost';
}

// Set the default values for $cfg['Servers'] entries
for ($i=1; (!empty($cfg['Servers'][$i]['host']) || (isset($cfg['Servers'][$i]['connect_type']) && $cfg['Servers'][$i]['connect_type'] == 'socket')); $i++) {
if (!isset($cfg['Servers'][$i]['auth_type'])) {
$cfg['Servers'][$i]['auth_type'] = 'cookie';
}
if (!isset($cfg['Servers'][$i]['host'])) {
$cfg['Servers'][$i]['host'] = 'localhost';
}
if (!isset($cfg['Servers'][$i]['connect_type'])) {
$cfg['Servers'][$i]['connect_type'] = 'tcp';
}
if (!isset($cfg['Servers'][$i]['compress'])) {
$cfg['Servers'][$i]['compress'] = false;
}
if (!isset($cfg['Servers'][$i]['extension'])) {
$cfg['Servers'][$i]['extension'] = 'mysql';
}
}

$cfg[‚DefaultLang‘] = 'de';
$cfg[‚SuhosinDisableWarning‘] = true;
?>

Non-Debian Installationen
Dazu fügt man einfach die Zeile in die config.inc.php von PhpMyAdmin:

$cfg[‚blowfish_secret‘] = '';

Wer mit dem Debian Packet gearbeitet hat (z.B. nach Confixx Anleitung), sollte dieses Mal manuell Updaten!

Immer daran denken die Programme zu updaten, denn dies ist sehr Wichtig!

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner mit php assert()

~0 Min. LesezeitFür einen Kunden sollte ich eine Offerte erstellen um seine Seite technisch zu …

Autodiscover und autoconfig für Mails bei Plesk

~0 Min. LesezeitPlesk ist eine Serververwaltungsoberfläche, welche leider keine Autokonfiguration für die Mails anbietet. Die …

Ein Kommentar

  1. Anjuschka Frei
    30.12.2011 von 14:27:13

    Leider geht beim SMS Sender der Kommentar nicht, so bleibt mir nichts anderes übrig, als hier ein Kommentar zu schreiben.
    Ich möchte mich herzlich für den SMS Dienst bedanken, ist ne geile Sache und nicht selbsverständlich.
    Danke Stefan.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2019, All Rights Reserved