Ist die Version von phpmyadmin aktuell?

    Guten Abend.


    Ich habe phpmyadmin über apt-get install phpmyadmin auf einem ganz neuen vServer mit Debian 8 installiert.

    Dabei bekomme ich einen Error 500 auf PHP 5.6.

    Nach Recherche mit apt-cache policy phpmyadmin wird eine Version "4:4.2.12-2+deb8u6" ausgegeben, die auf mich ganz obsolete wirkt.

    Wenn ich das Verzeichnis checke sehe ich auch tatsächlich, dass diese Dateien im November 2014 erstellt wurden, es ist also tatsächlich eine 4.2 anstatt eine 4.9 Version.


    Hierzu gibt es auch eine aktuelle Diskussion https://github.com/phpmyadmin/phpmyadmin/issues/15236.

    Es scheint doch ein ziemliches Sicherheitsrisiko zu sein (wenn man diese Version überhaupt zum Laufen bekommt).


    Meine Frage ist: Welches andere Paket für die Debian sources.list würdet ihr empfehlen und warum ist auf https://launchpad.net/~phpmyadmin/+archive/ubuntu/ppa auch keine neuere Version verfügbar?


    Schöne Grüße
    FoR

    Zitat von timkoop

    Im Idealfall erstmal eine aktuellere PHP-Version benutzen und dann phpmyadmin selbst aufsetzen (also das hier als vHost aufsetzen).

    Danke für die Antwort.

    Ja, ich kann es auch selbst aufsetzen, bin aber verwundert wie man sich so derartig alte Programmversionen über apt get einfangen kann. Wie ist es möglich, dass dies nie erneuert wurde und auch sonst keine aktuellen Repositories findet?
    Aber massenhaft Beschwerden über Error 500 (die wohl der alten Version geschuldet sind).

    Leider ist der Sinn und Zweck dieses Servers 3 Intranetprojekte die auf 5.6 laufen für die Kunden noch ein paar Jahre zur Verfügung stellen zu können. Alle 4 Hoster die wir sonst haben gehen in Richtung PHP >7.2
    Hinter einem htaccess geschützten und sonst auch aktuellen System sollte es kein Problem sein.

    Zitat von tab

    Debian 8 ist ja selbst schon uralt und bringt von Haus aus maximal PHP 5.6 mit. Dementsprechend alt wird halt auch die phpMyAdmin Version sein.

    Ist es also nicht so, dass mit den apt-get update auch die Sources aktualisiert werden sollten?
    Debian 8 ist ja auch der Standardserver mit dem aktuell bestellte vServer deployed werden.
    Aus meiner Sicht wurde es über einen langen Zeitraum nicht gut genug maintained, um für LAMP (als einer der häufigsten Einsatzzwecke von Servern) eine sichere und aktuelle Umgebung zu schaffen. Außerdem passt PHP 5.6 nicht mit phpMyAdmin 4.2 zusammen.
    Ist das eine falsche Denkweise?
    Ich kann mir einfach nicht vorstellen, dass ich jedes Paket lieber manuell installieren sollte um sicherzugehen. Das wäre doch die Aufgabe des Packagemanagers.


    --


    Vielleicht möchtet ihr auf eine bessere sources.list hinweisen, die ich lieber verwenden sollte (nicht nur für phpMyAdmin). Das wäre super.

    Hallo,


    Wie besprochen läuft nun alles auf Debian 10 minimal, Key-based Authentification, UFW, automatische Updates, geändertes Port.


    Ich möchte noch einmal probieren phpMyAdmin über die Distributions-Pakete zu installieren, obwohl ich mit manuell kein Problem habe.

    Es wird auch so empfohlen (https://docs.phpmyadmin.net/de/latest/setup.html):

    "phpMyAdmin ist in den meisten Linux-Distributionen enthalten. Verwenden Sie möglichst Distributions-Pakete – sie stellen gewöhnlich Integration in Ihre Distribution bereit, und Sie erhalten Sicherheits-Updates automatisch von Ihrer Distribution."

    Nun ist es so, dass phpMyAdmin nicht in den gelieferten Sources verfügbar ist: "Package has no installation candidate available".

    Wenn ich wie im Anhang die offizielle unstable Liste hinzufüge habe ich wieder nur eine alte Version 4.6.6 und nicht die 4.9.1 zur Verfügung.

    Ich finde, die offizielle Paketliste ist demnach total veraltet und gefährlich, wenn es schon bei so einer verbreiteten Applikation versagt.

    Welche andere Paketliste wäre besser geeignet, und warum ist das Verhalten so?

    Zumal auch die offizielle phpMyAdmin Seite von einem ganz anderen Setup ausgeht:

    "Die Paket-Repositories von Debian enthalten ein phpMyAdmin-Paket"


    phpmydamin.jpg

    "aktuell" und "debian" in einem Thread, da ist immer schon mal Popcorn angesagt.

    Die Philosophie von Debian ist, dass man veraltete Pakete einsetzt und das als Stabil ansieht. Die "Stable" Distribution bedeutet demnach "alt und stabil" und zeichnet sich durch wenige Updates (könnte immer was kaputt gehen) aus. Für den Stable Zweig gibt es deshalb (im Normalfall) nur Sicherheitskritische updates, keine Feature-upgrades. Will man neue Features haben muss man sich selbst darum kümmern (oder eine andere Distribution nehmen). Manche Pakete bieten deshalb eigene Paketquellen mit aktuellen Paketen an (z.B. sury für PHP, rspamd, etc..).


    Für den "normalen" Server ist das durchaus Sinnvoll. Man will ja nicht, dass ein Update den Serverbetrieb beeinträchtigt. So kann man dann (mit geringerer Ausfallgefahr) unattended updates für Sicherheitspatches einrichten. Jetzt ist es aber so, dass Entwickler ihre Sicherheitspatches oft nur in die aktuelle Version (die auch neue Features hat) einpflegen. Für Debian ist das ein Problem, die Sicherheitspatches müssten nämlich Rückportiert werden. Und dafür braucht man Manpower, viele sehen darin auch wenig Sinn. Bei dem phpmyadmin Paket kommt erschwerend hinzu, dass das Debianpaket mittlerweile verwaist ist.

    Andererseits sollte man immer (spätestens?) mit dem ersten point release auf die neue Debianversion updaten. Und da Debian 10.1. am 7. September rauskam ;)


    Ich habe bei mir so eine "halbgare" Lösung am laufen, falls es doch mal wieder ein vernünftiges Paket im Debian Repo gibt. Habe das Debianpaket installiert und die Files überschrieben. Die Anleitung war aus dem Internet, ich finde das Original aber gerade nicht. Credits sollten natürlich dort hin gehen ..

    Code
    apt-get install phpmyadmin

    Danach das Webverzeichnis löschen:

    Code
    rm -rf /usr/sharephpmyadmin

    Aktuelle Version downloaden, entpacken und an die richtige Stelle verschieben

    Code
    wget -P /usr/share/ "https://files.phpmyadmin.net/phpMyAdmin/4.9.1/phpMyAdmin-4.9.1-all-languages.zip"
    Code
    unzip phpMyAdmin-4.8.5-all-languages.zip
    Code
    mv phpMyAdmin-4.9.1-all-languages /usr/share/phpmyadmin

    Konfig anpassen

    Code
    cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
edit /usr/share/phpmyadmin/config.inc.php

    Einen Blowfish Key generieren, z.B. hier: https://www.motorsportdiesel.com/tools/blowfish-salt/pma/ und eintragen.


    Temporäres Verzeichnis anlegen

    Code
    mkdir /usr/share/phpmyadmin/tmp
    Code
    chown www-data:www-data /usr/share/phpmyadmin/tmp


    Bei einem phpmyadmin update mache ich das gleiche nochmal, also ab Verzeichnis löschen.

    Zitat von Steini

    "aktuell" und "debian" in einem Thread, da ist immer schon mal Popcorn angesagt.

    Die Philosophie von Debian ist, dass man veraltete Pakete einsetzt und das als Stabil ansieht. Die "Stable" Distribution bedeutet demnach "alt und stabil" und zeichnet sich durch wenige Updates (könnte immer was kaputt gehen) aus.

    Also das ist jetzt ja mal sehr negativ skizziert. Ja, es kommen selten neue Features in einem Release hinzu, gepatcht wird jedoch alles sehr zeitnah, d.h. die Pakete sind keineswegs veraltet.

    Die Frage ist, muß ich immer das vermeintlich neueste Release installiert haben, mit allen Features, von welchen ich 80% nicht benötige, oder für die installierten Pakete zeitnah Patches für Lücken erhalten, ohne irgendwelche Überraschungen, eines plötzlichen Release upgrades, oder gar einer Alpha oder Beta aus den Repositories der Distributionen mit vermeintlich "moderneren" Paketen.

    Auch kann man, wenn benötigt, meist auf Repositories der Hersteller zurückgreifen, welche generell sowieso schneller liefern, als alle anderen Distributionen zusammen.


    Edit, da es hierzu gerade passt:
    https://www.sudo.ws/alerts/minus_1_uid.html - Patches sind bereits unterwegs ... ;)

    WH 4000 SE | VPS 1000 G8 Plus | VPS Karneval 2020