阿里云盾提示phpMyAdmin <=4.8.1会出现漏洞有被SHELL风险,具体漏洞提醒:

标题

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

简介

checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。

这个漏洞,将phpmyadmin升级到最新版即可解决。

查看兼容性:

phpmyadmin查看最新版与MySQL和PHP版本的兼容性
当前phpmyadmin最新版为4.8.2,兼容PHP 5.5 ~ 7.2MySQL 5.5及以上,我这个服务器是PHP7.1.18MariaDb10.1.33所以直接升级到最新版就可以了。
因为lnmp1.5提供了升级脚本,直接升级即可。





cd lnmp1.

./upgrade.sh phpmyadmin




会跳转一下,输入版本号:






You can get version number from https://www.phpmyadmin.net/downloads/

Please enter phpMyAdmin version you want, (example: 4.8. ): 4.8.




然后就升级完成了,再去阿里云里面验证一下漏洞,漏洞已失效。


注意:


  1. 如果你修改了nginx网站目录的位置,你需要修改一下lnmp配置文件root/lnmp1.5/lnmp.conf,将下面这里的路径改成你服务根目录的路径。






Default_Website_Dir='/home/wwwroot/default'




  1. 如果你修改了phpmyadmin的目录名称,你需要修改升级所用的脚本文件/root/lnmp1.5/include/upgrade_phpmyadmin.sh,将脚本中的${Default_Website_Dir}/phpmyadmin/这样的路径全部改成${Default_Website_Dir}/你的phpmyadmin文件夹名/


这样才可以升级成功,以上使用的是lnmp1.5版本,感谢军哥。
												


											
漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL的更多相关文章
	

    
								
  1. 阿里云盾AliYunDun服务IO超高
		
    停止阿里云盾AliYunDun服务解决大量写磁盘问题-小内存ECS服务器 阿里云数据库在没备案,涉及大量IO操作时会自动启动阿里云盾这个服务,会导致服务器变得很卡,一直持续百分之99,一顿重启没有什么 ...
    
		
    2. 
						
  2. 卸载阿里云盾(安骑士)监控&屏蔽云盾IP
		
    卸载阿里云盾监控 wget http://update.aegis.aliyun.com/download/uninstall.sh chmod +x uninstall.sh ./uninstall ...
    
		
    3. 
						
  3. Python 阿里云盾滑块验证
		
    本文仅供学习交流使用,如侵立删! 记一次阿里云盾滑块验证分析并通过 操作环境 win10 . mac Python3.9 selenium.pyautogui 分析 最近在做中国庭审公开网数据分析的时 ...
    
		
    4. 
						
  4. 阿里云SLB漏选“健康检查正常的http状态码”导致url重定向失败问题处理
		
    背景:           一客户将线下电商网站迁移到阿里云上,公网出口使用阿里云SLB,SLB后端实例为ECS(webserver)web服务使用nginx.后端APP服务器使用了tomcat:to ...
    
		
    5. 
						
  5. 阿里云盾SSL证书即将到期怎么办?
		
    如果你也像我一样用了一个有效期限1年的DV证书,颁发厂商:Symantec.那当这个证书快到期的时候要怎么更换证书呢?1.证书安装环境是IIS82.下载重新购买的免费证书,对新证书进行重新先发.3.证 ...
    
		
    6. 
						
  6. 阿里云提出的漏洞(Phpcms V9某处逻辑问题导致getshell漏洞解决方法)的问题
		
    最近从阿里云云盾检测流出来的,相比使用阿里云服务器的朋友已经收到漏洞提醒:Phpcms V9某处逻辑问题导致getshell漏洞解决方法,这个漏洞怎么办呢?CMSYOU在这里找到针对性解决办法分享给大 ...
    
		
    7. 
						
  7. 阿里云windows 2008 服务器处理挖矿程序 Miner
		
    阿里云盾最近报发现wanacry蠕虫病毒和挖矿进程异常 仔细检查进程后,发现两个奇怪的进程 Eternalblue-2.2.0.exe,winlogins.exe 特别是伪装成 winlogins.e ...
    
		
    8. 
						
  8. 阿里云提示WordPress“/wp-includes/http.php输入IP验证不当”的解决办法
		
    本文转自:https://www.liuzhishi.com/2931.html 标题: wordpress IP验证不当漏洞 简介: wordpress /wp-includes/http.php文 ...
    
		
    9. 
						
  9. 天河微信小程序入门:阿里云tomcat免费配置https
		
    天河君在第一时间通过了微信小程序验证,开启了我的微信小程序之旅.因为天河君之前是一名后端狗,对前端不是很了解,所以几乎可以认为是从零开始学做微信小程序.也希望有志在微信小程序方向做点事情的朋友能够和我 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. EBI架构 VS. MVC
			
    和 MVC 模式中的 Model 代表着整个后端(包括所有实体.服务和它们之间的关系在内的一切)一样,EBI 模式将边界看作是和外部世界的完整连接,而不仅仅是一个视图.一个控制器或是一个接口(这里指的 ...
    
			
    2. 
						
  2. idea出现灰色或者黄色的波浪线如何去除
			
    1.File--setting--Editor-Inspections-Geneal-Duplicated Code 去除 主要是类中出现太多的重复代码,idea自动提示.
    
			
    3. 
						
  3. Anaconda 改为国内镜像的方法
			
    Anaconda的conda 特别好用 但如果用国外的镜像,慢的出奇 可以改为了国内镜像会好很多 conda config --add channels https://mirrors.tuna.ts ...
    
			
    4. 
						
  4. jxbrowser 实现java 和 js互相调用
			
    https://blog.csdn.net/shuaizai88/article/details/73743626 今天我们使用jxbrowser  实现js直接调用java代码. 调用javaTes ...
    
			
    5. 
						
  5. redis复制集
			
    应用场景:复制集作用的场景问题: 1.解决单点故障 2.读写分离 1.准备两台redis服务器 a) 一台做为注服务器,一台做为从服务器 b) 在从服务器中的redis.conf文件中添加 repli ...
    
			
    6. 
						
  6. CKeditor从Word粘贴格式问题
			
    在config.js中添加配置 config.pasteFromWordRemoveFontStyles = false;    config.pasteFromWordRemoveStyles =  ...
    
			
    7. 
						
  7. 帮助文档 - Wget
			
    (GNU Wget)http://www.gnu.org/software/wget/ 快速浏览(单HTML文件):(GNU Wget 在线手册)http://www.gnu.org/software ...
    
			
    8. 
						
  8. Misc题目
			
    @freebuff教程https://www.freebuf.com/column/196815.html @巅峰极客wp https://www.anquanke.com/post/id/18914 ...
    
			
    9. 
						
  9. Nginx网络负载均衡,负载均衡,网络负载,网络均衡
			
    本节就聊聊采用Nginx负载均衡之后碰到的问题: Session问题 文件上传下载 通常解决服务器负载问题,都会通过多服务器分载来解决.常见的解决方案有: 网站入口通过分站链接负载(天空软件站,华军软 ...
    
			
    10. 
						
  10. logstash 处理信息规律研究
			
    1.input file path => "/opt/50910627.log" path => "/path/to/%{+yyyy/MM/dd/hh}.lo ...
    
			
    11.