說明
phpMyAdmin 4.2.6.0 (2014/7/17) ===============================
- 含參照欄的未定義索引警告
- 當瀏覽返回時,忽略了 $cfg['MaxExactCount']
- 多欄排序 (已改善使用者體驗)
- 在 setup/mysqli 中時伺服器無法正常驗證
- grid 編輯外部索引鍵欄時未定義變數
- mult_submits.inc.php 未定義變數錯誤
- 排序中斷複製欄功能
- 重新命名表格時發生 JavaScript 錯誤
-「新視窗」連結 (selflink) 消失,導致發生 JavaScript 錯誤
- 錯誤偵測建立常式的權限
- 展開時,不可點選資料庫名稱的前幾個字元
- [安全性] 因未逸出表格註解而發生 XSS 插入
- [安全性] 因未逸出表格名稱而發生 XSS 插入 (觸發器)
- [安全性] AJAX 確認訊息中的 XSS
- [安全性] 缺少存取使用者群組功能的驗證
phpMyAdmin 4.2.5.0 (2014/6/26) ===============================
- shell_exec() 已因安全性因素停用
- 提交空查詢時發生錯誤
- 嚴重錯誤:找不到「PMA_DatabaseInterface」類別
- 已修正不含 mcrypt 之安裝的 Cookie 式登入
- 使用 having 子句時產生錯誤結果計數
- mcrypt:移除需求 (64 位元) 及相關警告
phpMyAdmin 4.2.4.0 (2014/6/20) ===============================
- MediaWiki 匯出不會產生表格標頭列;也修正了相關 PHP 警告
- 每次都將新行新增至查詢
- SQL 的聯結查詢匯出發生嚴重錯誤
- 無法在十六進位標記中轉儲存二進位欄
- 為每個工作階段重新產生 Cookie 加密 IV
- 無法匯入 (open_basedir):修正另一種情況
- SQL 索引標籤 - 插入未顯示的查詢影響了列計數
- 在多伺服器設定上,缺少有關現有帳戶的警告
- WHERE 子句可能未定義
- 忽略了作為表格選項的 SQL 匯出檢視
- [安全性] 因在導覽隱藏中的未逸出資料庫/表格名稱而導致 XSS 插入
- [安全性] 因在最近/最愛表格中的未逸出資料庫/表格名稱而導致 XSS 插入
phpMyAdmin 4.2.3.0 (2014/6/8) ===============================
- 無法正常移動欄位
- 更改欄位後表格索引消失
- 在伺服器層級顯示圖表時發生錯誤
- 無法匯入 (open_basedir)
- 複製限制時發生問題 (例如 Sakila)
- 缺少權限子功能表
- 放置使用者時放置資料庫確認訊息
- 從含有功能下拉式清單的數值欄位中插入
- 因缺少最低支援 MySQL 版本的增強功能而發生問題
- 新增最低支援 PHP 版本 (5.3.0) 的增強功能
- 提交包含已停用輸入欄位的欄變更表單時發生查詢錯誤
- 從使用者群組產生錯誤的功能表索引標籤
- 在索引建立/編輯產生的查詢中缺少空格
- 未勾選「顯示 SQL 查詢」產生了 NaN
phpMyAdmin 4.2.2.0 (2014/5/20) ===============================
- 在導覽樹狀結構中按一下資料庫名稱時,停用資料庫擴展於啟用時擲回了錯誤 500
- performance_schema 資料庫結構的表格顯示
- 保護二進位欄:許多問題
- BLOB 連結轉換損毀
- 遵循導覽面板中的 ['ShowCreateDb']
- 無法在資料庫的導覽面板中看見資料庫;當停用資料庫擴展時分組
- 沒有更多行事曆進入搜尋索引標籤中
- 監視器應符合螢幕寬度
- 複製資料庫時,遺失主要金鑰屬性
- js/messages.php 上的空 maxInputVars
phpMyAdmin 4.2.1.0 (2014/5/13) ===============================
- 無法顯示列舉中包含特殊字元的表格結構
- 無法移除上次記住的排序欄
- 在 MySQL 表格中正確擷取使用者與主機欄位的長度
- 範例/signon.php 不支援 SessionSavePath 指示詞
- 遺失 OpenLayers 程式庫的來源
- 數字欄位的屬性不正確
- 無法更新縮放搜尋中的值
- GIS 視覺化延伸無法與 PointFromText() 函式搭配使用
- 當在資料庫結構頁面上截斷或放置表格時顯示錯誤的「列」總計
- 對排序欄進行的 Grid 編輯失敗
- 編輯時,Null 核取方塊包含資料輸入
- 資料類型自行變更 (不存在大小,但存在屬性)
phpMyAdmin 4.2.0.0 (2014/5/8) ===============================
- 僅匯出觸發器
- 匯出不含觸發器的伺服器/資料庫/表格
- 在資料庫結構頁面上新增表格註解工具提示
- 顯示字元集與定序的單一表格
- 針對表格列動作顯示圖示/文字/兩者
- 將布林值轉換為文字的轉換
- 變更使用者密碼會將其刪除
- 文字轉換合併了附加及前置
- 已新增有關 mysql 延伸正在取代及移除延伸指示詞的警告
- 已新增對於分散圖表的支援
- 使欄標頭可以固定
- 增強權限初始表格
- [介面] 破壞含子功能表的「編輯權限」
- 需要次要重構
- 在 SQL 匯出的結尾建立索引
- 更大監視器的關係編輯表單
- 內嵌查詢方塊垂直重新調整大小
- [介面] 將下方邊界新增至上方功能表容器
- 為「時間」類型新增 datepicker
- 在 SQL 連結中洩漏 HTTP Referer
- 在導覽暫留時顯示全名
- 在導覽面板中按一下常式時的行為
- 支援有關 CSV 匯入的多個分隔字元
- 按範例載入/儲存查詢
- 嘗試選取時 Grid 編輯 ENUM 欄位,對話方塊消失
- 使用 zip 壓縮進行資料庫匯出會產生空的封存
- 位於上方的確認訊息
- 建立表格時 breadcrubs 錯誤
- 對於複製的更佳驗證資料庫名稱
- 資料庫索引標籤「中斷」按鈕應為連結
- 反白顯示在提交失敗後需要的表單欄位
- 在工作階段到期後重新導向至登入頁面
- Grid 編輯:無法在日期欄位上變更月
- 以長度規格按欄位新增最大長度
- 在未提供檔案名稱的情況下順利匯入並不會產生任何影響
- 自動將函式新增至所有插入方塊
- 跳過大於 n 之表格的選項
- 停用資料庫擴展的可能性
- 最愛表格選取方塊
- 針對結構編輯,$cfg['CharEditing']='textarea'
- 避免編輯屬於關係一部分的欄位
- [介面] 在設定中反白顯示作用中左邊功能表項目
- 於瀏覽期間篩選畫面顯示列
- 已移除對於 SQL 驗證器的支援 (不再提供 SOAP 服務)
- 設定 > 管理:錯誤訊息
- 動作區域中的「更多」無法摺疊以符合可用空間
- 為兩個資料庫建立群組,其中一個的名稱是另一個的前置詞
- 混淆資料庫/表格分組
- 建立索引並不會更新索引清單
請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。
解決方案
更新受影響的 phpMyAdmin 套件。
Plugin 詳細資訊
檔案名稱: fedora_2014-8577.nasl
代理程式: unix
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:fedoraproject:fedora:phpmyadmin, cpe:/o:fedoraproject:fedora:19
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
可輕鬆利用: No known exploits are available
參考資訊
CVE: CVE-2013-4998, CVE-2013-4999, CVE-2013-5000, CVE-2013-5003, CVE-2013-5029, CVE-2014-1879, CVE-2014-4348, CVE-2014-4349
BID: 61512, 61513, 61515, 61804, 61923, 65717, 68201, 68205