阿里云盾提示phpMyAdmin <=4.8.1会出现漏洞有被SHELL风险,具体漏洞提醒:

标题

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

简介

checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。

这个漏洞,将phpmyadmin升级到最新版即可解决。

查看兼容性:

phpmyadmin查看最新版与MySQL和PHP版本的兼容性
当前phpmyadmin最新版为4.8.2,兼容PHP 5.5 ~ 7.2MySQL 5.5及以上,我这个服务器是PHP7.1.18MariaDb10.1.33所以直接升级到最新版就可以了。
因为lnmp1.5提供了升级脚本,直接升级即可。





cd lnmp1.

./upgrade.sh phpmyadmin




会跳转一下,输入版本号:






You can get version number from https://www.phpmyadmin.net/downloads/

Please enter phpMyAdmin version you want, (example: 4.8. ): 4.8.




然后就升级完成了,再去阿里云里面验证一下漏洞,漏洞已失效。


注意:


  1. 如果你修改了nginx网站目录的位置,你需要修改一下lnmp配置文件root/lnmp1.5/lnmp.conf,将下面这里的路径改成你服务根目录的路径。






Default_Website_Dir='/home/wwwroot/default'




  1. 如果你修改了phpmyadmin的目录名称,你需要修改升级所用的脚本文件/root/lnmp1.5/include/upgrade_phpmyadmin.sh,将脚本中的${Default_Website_Dir}/phpmyadmin/这样的路径全部改成${Default_Website_Dir}/你的phpmyadmin文件夹名/


这样才可以升级成功,以上使用的是lnmp1.5版本,感谢军哥。
												


											
漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL的更多相关文章
	

    
								
  1. 阿里云盾AliYunDun服务IO超高
		
    停止阿里云盾AliYunDun服务解决大量写磁盘问题-小内存ECS服务器 阿里云数据库在没备案,涉及大量IO操作时会自动启动阿里云盾这个服务,会导致服务器变得很卡,一直持续百分之99,一顿重启没有什么 ...
    
		
    2. 
						
  2. 卸载阿里云盾(安骑士)监控&屏蔽云盾IP
		
    卸载阿里云盾监控 wget http://update.aegis.aliyun.com/download/uninstall.sh chmod +x uninstall.sh ./uninstall ...
    
		
    3. 
						
  3. Python 阿里云盾滑块验证
		
    本文仅供学习交流使用,如侵立删! 记一次阿里云盾滑块验证分析并通过 操作环境 win10 . mac Python3.9 selenium.pyautogui 分析 最近在做中国庭审公开网数据分析的时 ...
    
		
    4. 
						
  4. 阿里云SLB漏选“健康检查正常的http状态码”导致url重定向失败问题处理
		
    背景:           一客户将线下电商网站迁移到阿里云上,公网出口使用阿里云SLB,SLB后端实例为ECS(webserver)web服务使用nginx.后端APP服务器使用了tomcat:to ...
    
		
    5. 
						
  5. 阿里云盾SSL证书即将到期怎么办?
		
    如果你也像我一样用了一个有效期限1年的DV证书,颁发厂商:Symantec.那当这个证书快到期的时候要怎么更换证书呢?1.证书安装环境是IIS82.下载重新购买的免费证书,对新证书进行重新先发.3.证 ...
    
		
    6. 
						
  6. 阿里云提出的漏洞(Phpcms V9某处逻辑问题导致getshell漏洞解决方法)的问题
		
    最近从阿里云云盾检测流出来的,相比使用阿里云服务器的朋友已经收到漏洞提醒:Phpcms V9某处逻辑问题导致getshell漏洞解决方法,这个漏洞怎么办呢?CMSYOU在这里找到针对性解决办法分享给大 ...
    
		
    7. 
						
  7. 阿里云windows 2008 服务器处理挖矿程序 Miner
		
    阿里云盾最近报发现wanacry蠕虫病毒和挖矿进程异常 仔细检查进程后,发现两个奇怪的进程 Eternalblue-2.2.0.exe,winlogins.exe 特别是伪装成 winlogins.e ...
    
		
    8. 
						
  8. 阿里云提示WordPress“/wp-includes/http.php输入IP验证不当”的解决办法
		
    本文转自:https://www.liuzhishi.com/2931.html 标题: wordpress IP验证不当漏洞 简介: wordpress /wp-includes/http.php文 ...
    
		
    9. 
						
  9. 天河微信小程序入门:阿里云tomcat免费配置https
		
    天河君在第一时间通过了微信小程序验证,开启了我的微信小程序之旅.因为天河君之前是一名后端狗,对前端不是很了解,所以几乎可以认为是从零开始学做微信小程序.也希望有志在微信小程序方向做点事情的朋友能够和我 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. State Threads之co-routine的创建和stack的管理
			
    1. 综述 协程库 State Threads Library 是一个基于 setjmp/longjmp 实现的 C 语言版用户线程库或协程库(user level thread). 基本协程例子:  ...
    
			
    2. 
						
  2. LeetCode 109. 有序链表转换二叉搜索树(Convert Sorted List to Binary Search Tree)
			
    题目描述 给定一个单链表,其中的元素按升序排序,将其转换为高度平衡的二叉搜索树. 本题中,一个高度平衡二叉树是指一个二叉树每个节点 的左右两个子树的高度差的绝对值不超过 1. 示例: 给定的有序链表: ...
    
			
    3. 
						
  3. 学习 vue 需要了解的内容
			
    总结 vue 的目录 1. vue 基础 指令 事件 动态的属性 组件 动画 2. vue 组件通信 1. 父传子 props 2. 子传父 ref 3. 插槽 4. 组件的生命周期 3. vue 的 ...
    
			
    4. 
						
  4. 浏览器是如何处理页面元素的Download?
			
    首先,浏览器对于script的下载是避免并行进行的.HTTP/1.1协议中规定浏览器和同一host之间只建立最多两个连接,也就是说允许的最 大并行度为2(当然,对IE和Firefox来说,你都可以通过 ...
    
			
    5. 
						
  5. CentOS yum安装软件时保留安装包及依赖包或者自动下载安装包及相关依赖包
			
    CentOS上安装某个软件一般都有很多相关的依赖包,当然,这也与我们安装时software selection步骤中选择的版本有关系,我们服务器在安装CentOS时一般选择Basic Web Serv ...
    
			
    6. 
						
  6. 在sed中引入shell变量的四种方法
			
    1.eval sed ’s/$a/$b/’ filename2.sed "s/$a/$b/" filename3.sed ’s/’$a’/’$b’/’ filename 4.sed ...
    
			
    7. 
						
  7. 编译openwrt时报错build_dir/hostpkg/libubox-2018-07-25-c83a84af/blobmsg_json.c:21:19: fatal error: json.h: No such file or directory
			
    答: 一. 详细日志: build_dir/hostpkg/libubox-2018-07-25-c83a84af/blobmsg_json.c:21:19: fatal error: json.h: ...
    
			
    8. 
						
  8. linux添加用户所在群组
			
    etc目录下面有两个文件一个passwd一个grouppasswd里gid是主组,其他组是扩展组,扩展组在/etc/group里描述.useradd username如果不指定,默认创建一个与uid相 ...
    
			
    9. 
						
  9. Selenium 2自动化测试实战28(断言方法)
			
    一.断言方法 执行用例的过程中,最终用例是否执行通过,是通过判断测试得到的实例结果与预期结果是否相等决定的.unittest框架的TestCase类提供下面这些方法用于测试结果的判断. -assert ...
    
			
    10. 
						
  10. linux/windows/Mac平台生成随机数的不同方法
			
    linux平台,使用rand.Seed() //rand_linux.go package main import ( "math/rand" "time" ) ...
    
			
    11.