Paketquellen für aktuellere Version von phpMyAdmin

[jochen35]

Hallo,

ich will auf meinem Root-Server mit Debian Wheezy phpMyAdmin installieren, so das es später per cron-apt aktualisiert werden kann. Die offiziellen Paketquellen von Debian liefern leider nur eine ziemlich alte Version (3.4.11.1deb2+deb7u1) die ich nicht verwenden will.

Mein Frage daher, ob es für phpMyAdmin alternative Paketquellen gibt und wenn nicht, wie man ein automatisches Update realisieren kann.

Gruß
Jochen

 

[GwenDragon]

Kannst ja versuchen, ob die neueren Pakete von jessie oder sid klappen. Auch wenn das eher Desktopmanier ist, so ein Upgrade zu fahren. Aber sowas solltest du erst mal lokal auf einer VM testen. Und nur per Hand das Paket installieren, sonst zerdrischt du dir den ganzen Server.
Und inwieweit die Ubuntu-PPA vertrauenwürdig wären, musst du entscheiden: https://launchpad.net/~nijel/+archive/ubuntu/phpmyadmin

 

[killerbees19]

Dafür gibt es die Pinning-Funktion: https://wiki.debian.org/de/AptPreferences

Und Ubuntu und Debian Pakete würde ich in diese Richtung lieber nicht mischen…


MFG Christian

 

[Deleted member 11691]

Hi,

http://www.dotdeb.org/

->

echo 'deb http://dotdeb.mirror.edis.at wheezy all
deb-src http://dotdeb.mirror.edis.at wheezy all' > /etc/apt/sources.list.d/dotdeb.list
wget -O-  http://dotdeb.org/dotdeb.gpg | apt-key add -
apt-get update

Hoffe das hilft weiter.

Liebe Grüße,

Fusl

 

[killerbees19]

Wo ist denn der Beitrag von Fusl über Dotdeb hingekommen?

Magische Selbstlöschung vom DBMS?


MfG Christian

 

[Deleted member 11691]

Nein. Um es hier auch mal Publik zu machen: Ich hab den Beitrag selber gelöscht weil mir entgangen ist, dass Dotdeb phpMyAdmin aus dem Sortiment genommen hatte...

 

[danton]

Und inwieweit die Ubuntu-PPA vertrauenwürdig wären, musst du entscheiden: https://launchpad.net/~nijel/+archive/ubuntu/phpmyadmin

Da wäre ich in der Tat vorsichtig. Das PPA hängt nämlich mittlerweile einige Versionen zurück mit der Version 4.2.3 - aktuell ist derzeit die 4.2.7 und in der 4.2.6 waren sogar sicherheitsrelevante Updates enthalten.
Außerdem ist ein Update von PHPMyAdmin z.B. mit einem SSH-Zugang sehr einfach zu erledigen - Archiv per wget holen, entpacken, config.inc.php aus dem alten Verzeichnis rüber kopieren und meist war es das schon.
Und wenn man sein PHP als CGI/FCGI mit Suexec einsetzt, dann will man eben wegen Suexec sowieso die per Distributionspaket installierte Fassung nicht verwenden.

 

[GwenDragon]

@danton

(...) phpMyAdmin installieren, so das es später per cron-apt aktualisiert werden kann. Die offiziellen Paketquellen (...)

Es wurde nach Paketquellen gefragt, nicht nach dem selbst Installieren per Tarball.

Aber wirklich aktuell ist Jochens Installation/Compilierung aus dem Tarball von phpmyadmin.net.

Nachprüfen wie integer die Quellen des Pakets dort sind, ist schwer möglich, da eine MD5-Summe nicht sonderlich sicher ist und eine PGP-Signatur des Tarballs fehlt.

 

[danton]

@danton

Es wurde nach Paketquellen gefragt, nicht nach dem selbst Installieren per Tarball.

Das ist mir bekannt. Aber ich wollte damit aufzeigen, daß der Aufwand, einen PHPMyAdmin mit den offiziellen Archiven aktuell zu halten, sehr überschaubar ist. IMHO so überschaubar, daß man sich nicht darauf verlassen sollte, ob eine Dritt-Paketquelle auch zeitnah die aktuellste Version bereitstellt.
Vielleicht ist auch das mal hier im Forum vorgestellte Update-Script eine Alternative zu Paketquellen:

Updatescript für phpMyAdmin

Aus irgendwelchen Gründen gibt es die upgrade.pl für phpMyAdmin nicht mehr. Also hab ich ein kleines Shellscript geschrieben: https://github.com/stefansl/pma-updatescript Vielleicht ist es für Euch auch interessant. Grüße, Stefan

serversupportforum.de

Habe es selber noch nicht ausprobiert, will es mir aber noch ansehen.

 

[GwenDragon]

Vielleicht ist auch das mal hier im Forum vorgestellte Update-Script eine Alternative zu Paketquellen:

Updatescript für phpMyAdmin

Aus irgendwelchen Gründen gibt es die upgrade.pl für phpMyAdmin nicht mehr. Also hab ich ein kleines Shellscript geschrieben: https://github.com/stefansl/pma-updatescript Vielleicht ist es für Euch auch interessant. Grüße, Stefan

serversupportforum.de

Das überprüft nicht, ob der Tarball zur MD5-Summe passt. So kann man sich auch schnell mal was kaputtes oder verändertes installieren.
Softwarepakete über http laden und dann Prüfsumme unsicher, keine PGP-Signatur, ein NoGo.

Aber das muss jeder selbst wissen. Oder einfach dem Hosting von PMA blind vertrauen.

 

[danton]

Das gilt aber letztendlich für das oben von dir genannte Ubuntu-PPA auch. Es ist keine offizielle Quelle und letztendlich weißt du nicht, was der Betreiber des PPA für Modifikationen daran vorgenommen hat - und ob er die Quellen von der offiziellen Seite zieht.
Sofern du übrigens auf eine PGP-Signatur bestehst, wirst du auf PHPMyAdmin verzichten müssen - da du ja schon die offizielle Seite nicht als vertrauenswürdig ansiehst.
EDIT: Hmm... ich glaube, ich werde mal schauen, ob ich nicht zumindest eine MD5-Prüfung in das Script einbauen kann...

 

[GwenDragon]

Das gilt aber letztendlich für das oben von dir genannte Ubuntu-PPA auch. Es ist keine offizielle Quelle und letztendlich weißt du nicht, was der Betreiber des PPA für Modifikationen daran vorgenommen hat - und ob er die Quellen von der offiziellen Seite zieht.

Ici habe nicht behauptet, dass das PPA vertrauenswürdig ist, ich schrieb, das muss jede selbst entscheiden, ob von da was installiert wird.

Sofern du übrigens auf eine PGP-Signatur bestehst, wirst du auf PHPMyAdmin verzichten müssen - da du ja schon die offizielle Seite nicht als vertrauenswürdig ansiehst.

Wo schrieb ich, dass ich die PMA-Seite nicht als vertrauenswürdig ansehe? SourceForge hostet die Downloads, nicht phpmyadmin.net!

Ich kritisiere nur, dass unsignierte Software (ohne Signatur, ohne sichere SHA-Prüfsumme) ausgegeben wird. Das Paket ist ja nicht irgendeine Hobby-Popelsoftware sondern oft genutzte Administrationssoftware.
Es macht's eben schwerer nachzuprüfen, ob das Paket intakt ist.

Warum PMA nicht die Pakete signiert, verstehe ich nicht. Oder wisst ihr das einen triftigen Grund? Admins sind doch nicht so dumm, kein PGP/GPG verwenden zu können, oder?

Ob jochen35 wirklich so viel Einblick hat oder einfach blind installiert? Weiß ich nicht.

Ein Einwand wäre, zu argumentieren, dass es wurscht ist, weil ja nicht sicherheitsrelevant und immer auf irgendwas vertraut werden muss.

 

[rolapp]

Das mit den veralteten Paketen hat mich auch gestört.
Ich habe einfach zu einem Anbieter mit KVM - Virtualisierung gewechselt und mir Ubuntu 14.04 installiert und habe jetzt relativ aktuelle Software.

Das ist jetzt nur meine Meinung.

 

[PHP-Friends]

Aus der Diskussion, ob man PMA nun nur über signierte Paketquellen laden sollte oder nicht, halte ich mich mal raus. Sofern man darauf aber verzichten kann, ist folgendes Script Gold wert:

https://github.com/stefansl/pma-updatescript/

Einfach als Cronjob einrichten und man hat Ruhe. Hat bei uns noch nie Probleme gemacht.

 

[jochen35]

Hallo,

vielen Dank erst einmal für die zahlreichen Antworten auf meine Frage.

Wie sieht es aber eigentlich aus, wenn man doch die alte phpMyAdmin-Version 3.4.11.1 aus den offiziellen Debian Paketquellen installiert? Werden dafür wenigstens Sicherheitsupdates verteilt, denn auf die ganzen neuen Features der aktuellen Version kann ich gut verzichten.

Gruß
Jochen

 

[danton]

Debian portiert Fixes für in neueren Versionen gefundene Sicherheitslücken zurück, falls deren Version davon auch betroffen ist.

 

[PHP-Friends]

Das trifft übrigens eigentlich auf alle offiziellen Pakete zu - das ist ja u.a. der Sinn hinter so einem System. Möglichst keine "großen Sprünge" machen, damit alles untereinander kompatibel bleibt, aber wichtige Bugfixes und Sicherheitspatches werden natürlich "gebackportet".

 

[jochen35]

Ok, dann werde ich phpMyAdmin doch aus den Debian-Paketquellen nehmen und die Updates per cron-apt laufen lassen.

Gruß
Jochen