Fedora 14 : phpMyAdmin-3.4.1-1.fc14 (2011-7702)
medium Nessus Plugin ID 55006
語系:
概要
遠端 Fedora 主機遺漏安全性更新。說明
歡迎使用 phpMyAdmin 3.4,為您呈現全新的預設主題。此版本包含多種全新功能,特別是:- 使用者喜好設定
- 支援多種格式的關聯配置匯出
- ENUM/SET 編輯器
- 簡化匯出/匯入介面
- 部分組件 AJAX 化
- 圖表
- 視覺查詢建立器
變更記錄如下:
3.4.1.0 的變更 (2011 年 5 月 20 日)
- [介面] 同步及已設定的主機
- [錯誤] 內嵌編輯和 $cfg[’PropertiesIconic’]
- [修補程式] 顯示翻譯標籤
- [導覽] 表格篩選區分大小寫
- [權限] 還原暫時性修正
- [同步] 同步及使用者名稱
- [核心] 部分瀏覽器報告不安全的 https 連線
- [安全性] 讓重新導向器需要有效的 token (請參閱 PMASA-2011-3 和 PMASA-2011-4)
3.4.0.0 的變更 (2011 年 5 月 11 日)
- [檢視] 啟用 VIEW 重新命名
- [權限] 匯出使用者的權限
- [核心] 已更新 mootools,修正了 Safari 的部分問題。
- [介面] 新增 REGEXP ^...$ 至選取對話方塊。
- [介面] 新增插入忽略選項至編輯列。
- [介面] JavaScript 停用時顯示警告。
- [編輯] 獨立呼叫 UUID 函式,以便在插入中加以顯示。
- [匯出] 允許以 UTC 匯出時間戳記。
- [核心] 組態資料造成雞與蛋的問題,因此將之從工作階段移除。
- [核心] Cookie 路徑現在接受 PmaAbsoluteUri。
- [核心] phpMyAdmin 接受 PmaAbsoluteUri 的 https。
- [核心] 嘗試以 RENAME 移動表格,若失敗則無法執行 CREATE/INSERT。
- [核心] 程式碼變更時強制重新載入 js。
- [介面] 伺服器狀態中不顯示長數字。
- [編輯] 新增只顯示插入查詢的選項。
- [介面] 將 SSL 狀態移至末端,其通常為空白。
- [介面] 表格結構中顯示欄號。
- [介面] 新增重新載入導覽框架的連結。
- [驗證] 登入驗證透過工作階段資料轉送錯誤訊息。
- [介面] 將 ^1 移至訊息末端。
- [介面] 將結構中的不適用動作灰階處理
- [介面] 允許從導覽框架建立新表格 (精簡模式)。
- [瀏覽] 新增二進位欄位的直接下載。
- [瀏覽] 正確顯示 BLOB 的 NULL 值。
- [編輯] 允許以 ProtectBinary 將 BLOB 設為 NULL,或從 NULL 設定。
- [編輯] 使用檔案上傳時不預設為 UNHEX。
- [核心] 新增設定 session_save_path 的選項。
- [介面] 在醒目提示的 SQL 中提供文件連結。
- [介面] 支援 JS 的瀏覽器現在可將多數頁面加為書籤。
- [核心] 修正 SSL 偵測。
- [文件] 新增數個 chk_rel.php 的快速設定提示。
- [介面] 部分元素新增類別,便於主題設定。
- [文件] 將部分相關組態新增至 config.sample.inc.php。
- [文件] 變更 pmadb 設定後新增重新登入的建議
- [介面] 預先填入 tbl_operations.php 中的 [複製表格至],在此感謝 iinl
- [語言] 新增英文 (英國) 翻譯,在此感謝 Robert Readman。
- [驗證] HTTP 基本驗證領域名稱,在此感謝 Harald Jenny
- [介面] 不將文件連結插入尚未格式化的 SQL。
- [語言] 簡體中文更新,在此感謝 Shanyan Baishui
- [語言] 土耳其文更新,在此感謝 Burak Yavuz
- [介面] 按一下「SQL」連結時調整 TEXTAREA ‘sql_query’ 焦點
- [語言] 烏茲別克文更新,在此感謝 Orzu Samarqandiy
- [匯入] 匯入後亦列出上傳的檔案名稱,在此感謝 Pavel Konnikov 和 Herman van Rink
- [結構] 按一下 db 結構中的表格名稱時,應能瀏覽該表格 (若可能),在此感謝 bhdouglass
- [搜尋] 新搜尋運算子,在此感謝 Martynas Mickeviius
- [設計工具] 根據主索引鍵的彩色相關,在此感謝 GreenRover
- [核心] 為供應商提供簡單的組態檔案路徑變更方法。
- [介面] 新增內嵌查詢編輯,在此感謝 Muhammd Adnan。
- [設定] 允許在設定指令碼中設定變更追蹤。
- [編輯] 可選擇停用「類型」欄,在此感謝 Brian Douglass
- [編輯] 快速建立一般 SQL 查詢的按鈕,在此感謝 sutharshan。
- [介面] 將匯出/匯入載入轉為 jQuery 就緒事件,在此感謝 sutharshan。
- [編輯] CURRENT_TIMESTAMP 亦適用於日期時間欄位。
- [引擎] 修正 PBXT 狀態剖析,在此感謝 Madhura Jayaratne。
- [介面] 將上傳進度列轉為 jQuery,在此感謝 Philip Frank。
- [介面] 新增日期時間輸入的 JavaScript 驗證,在此感謝 Sutharshan Balachandren。
- [介面] 預設排序次序現在為 SMART。
- [介面] 修正非 IE 瀏覽器中的標頭翻轉。
- [介面] 允許從組態中選擇要同步的伺服器。
- [關聯] 改善 ON DELETE/ON UPDATE 下拉式清單
- [關聯] 改善關聯檢視中的標籤
- [介面] 使用 jQuery 行事曆對話方塊,在此感謝 Muhammad Adnan。
- [文件] 將同步文件合併到主文件。
- [核心] 包含內容安全性原則 HTTP 標頭。
- [CSS] 欄位屬性使用內嵌 CSS
- [介面] 清理導覽框架。
- [核心] 避免傳送不必要的 cookie,在此感謝 Piotr Przybylski
- [密碼] 產生只有在 JS 啟用時可用的密碼 (修正「權限」和「變更」密碼)
- [核心] RecodingEngine 現在接受「無」為有效選項。
- [核心] 解除 AllowAnywhereRecoding 組態變數。
- [介面] 以 SQL 形式定義索引標籤順序,藉此簡化索引標籤的導覽。
- [核心] 集中格式字串擴充,@VARIABLES@ 現在為建議方式,用於檔案名稱範本、預設查詢、匯出和標題產生。
- [驗證器] SQL 驗證器現可支援 SOAP PHP 延伸模組。
- [介面] 改善 SQL 驗證器結果的格式。
- [文件] 連結表格基礎結構現在稱為 phpMyAdmin 組態儲存。
- [介面] 將放置/清空連結從 being 索引標籤移至 Operations 索引標籤。
- [介面] 修正錯誤/通知/資訊標題背景的轉譯。
- [文件] 語言及文法修正,在此感謝 Isaac Bennetch
- [匯出] JSON 匯出,在此感謝 Hauke Henningsen
- [介面] SET/ENUM 欄位編輯器。
- [介面] 簡化備份/還原介面。
- [一般] 使用者喜好設定
- [關聯] 捨棄 WYSIWYG-PDF 組態變數。
- [關聯] 將關聯匯出至 Dia、SVG 和其他項目
- [介面] 新增圖表至狀態索引標籤、分析頁面和查詢結果
- [介面] 多種頁面 AJAX 化
- [核心] 移除 2006 年已移除之分析程式碼的最後剩餘部分。
- [剖析器] 新增 MySQL 處理 Backtick 的因應措施。
- [介面] 移除 information_schema 的修改選項
- [組態] 新增「左側」框架表格篩選可見性的組態選項,在此感謝 eesau
- [核心] 登入時強制產生新工作階段
- [介面] 中斷分頁前元素,因為其對於小型表格無作用。
- [介面] 允許包裝列舉值。
- [介面] 不自動標記要刪除的 PDF 配置列
- [介面] 不在第一個字元上套用 LeftFrameDBSeparator。
- [介面] 表格檢視中的欄醒目提示和標記
- [一般] 視覺查詢建立器
- [介面] 避免長查詢顯示在確認快顯視窗中
- [導覽] 左側面版表格分組不正確,在此感謝 garas - garas
- [介面] 避免 MySQL 錯誤雙重逸出。
- [介面] 使用雜訊較少的訊息,移除伺服器圖表和資料庫統計資料上的停用連結。
- [關聯] 顯示結果時,甚至在 phpMyAdmin 組態儲存未啟用時,也會顯示外部表格的連結
- [關聯] 外部索引鍵輸入選項
- [匯出] 改善 PHP 陣列匯出的處理。
- [權限] 刪除使用者時沒有 DROP DATABASE 警告
- [介面] 新增狀態變數的文件連結。
- [安全性] 重新導向外部連結,避免 Referer 洩漏。
- [介面] 預設不對資料庫中的表格計數。
- [介面] 複製表格列的捷徑。
- [驗證] 登入時重設使用者快取。
- [介面] 將硬式編碼限制取代為 $cfg[’LimitChars’]。
- [介面] 指示書籤在瀏覽時使用。
- [介面] 指示介面中共用的書籤。
- [搜尋] Ajax 化瀏覽並刪除 DB 搜尋中的準則,在此感謝 Thilanka Kaushalya
- [介面] 新預設主題 pmahomme,中斷 darkblue_orange 主題。
- [驗證] 允許通過使用登入方法的額外參數。
- [驗證] 新增使用登入方法的 OpenID 驗證範例。
- [dbi] 預設為 mysqli 延伸模組。
- [介面] 新增清除按鈕至 SQL 編輯方塊。
- [核心] 將程式庫 PHPExcel 更新至 1.7.6 版
- [核心] 在未安裝 mbstring 的情況下作業。
- [介面] 新增變數文件的連結。
- [匯入] 修正 utf-8 XML 檔案的匯入。
- [驗證] 在登入 URL 變更時強制登入驗證。
- [核心] 同步不接受 AllowArbitraryServer
- [同步] 含有單引號的資料避免同步,在此感謝 jviewer
- [一般] 移除自訂色彩選擇器功能
- [權限] 遺漏執行 REVOKE ALL PRIVILEGES 的權限時不會以無訊息模式失敗
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 phpMyAdmin 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 55006
檔案名稱: fedora_2011-7702.nasl
版本: 1.16
類型: local
代理程式: unix
已發布: 2011/6/9
已更新: 2021/1/11
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
CVSS v2
風險因素: Medium
基本分數: 6.5
時間分數: 4.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:phpmyadmin, cpe:/o:fedoraproject:fedora:14
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/5/30
弱點發布日期: 2011/5/30
參考資訊
FEDORA: 2011-7702