بسم الله الرحمن الرحيم
تم إعلان وجود ثغرة خطيرة بسكربت phpMyAdmin بتاريخ اليوم 2015-05-13
الثغرة من نوع man-in-the-middle attack
الإصدارات المصابة:
4.0.x
4.2.x
4.3.x
4.4.x
هذه الثغره يمكن إستغلالها في عملية الإتصال بالـAPI ما بين phpMyAdmin و GitHub
رابط الإعلان الرسمي عن الثغرة:
http://www.phpmyadmin.net/home_page/security/PMASA-2015-3.php
حل الثغرة عن طريق التحديث إلي أحد الإصدارات التالية:
4.0.10.10
4.2.13.3
4.3.13.1
4.4.6.1
لمن يستخدمون الـcPanel فالإصدار الحالي مصاب وهو 4.0.10.7
يوجد حل مؤقت تم إصداره لمن لا يريد التحديث وطريقته في التالي:
لمن لا يستخدمون لوحة تحكم cPanel, يتم الدخول إلي ملفات السكربت وبعدها مجلد libraries وبعدها يتم فتح الملف Config.class.php والبحث عن السطرين التاليين:
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
ثم يتم حذفهم
ولمن يستخدمون لوحة تحكم cPanel, يتم الوصول إلي الملف عن طريق المسار التالي:
/usr/local/cpanel/base/3rdparty/phpMyAdmin/libraries/
ويتم البحث عن نفس السطرين بداخل ملف Config.class.php ويتم حذفهم
وبهذا تكون إنتهت عملية ترقيع الثغرة لحين تحديث إصدار phpMyAdmin من خلال cPanel
شكرا لك