Fedora 19 : phpMyAdmin-4.2.6-1.fc19 (2014-8577)

medium Nessus Plugin ID 76917

概要

遠端 Fedora 主機遺漏安全性更新。

說明

phpMyAdmin 4.2.6.0 (2014/7/17) ===============================

- 含參照欄的未定義索引警告

- 當瀏覽返回時,忽略了 $cfg['MaxExactCount']

- 多欄排序 (已改善使用者體驗)

- 在 setup/mysqli 中時伺服器無法正常驗證

- grid 編輯外部索引鍵欄時未定義變數

- mult_submits.inc.php 未定義變數錯誤

- 排序中斷複製欄功能

- 重新命名表格時發生 JavaScript 錯誤

-「新視窗」連結 (selflink) 消失,導致發生 JavaScript 錯誤

- 錯誤偵測建立常式的權限

- 展開時,不可點選資料庫名稱的前幾個字元

- [安全性] 因未逸出表格註解而發生 XSS 插入

- [安全性] 因未逸出表格名稱而發生 XSS 插入 (觸發器)

- [安全性] AJAX 確認訊息中的 XSS

- [安全性] 缺少存取使用者群組功能的驗證

phpMyAdmin 4.2.5.0 (2014/6/26) ===============================

- shell_exec() 已因安全性因素停用

- 提交空查詢時發生錯誤

- 嚴重錯誤:找不到「PMA_DatabaseInterface」類別

- 已修正不含 mcrypt 之安裝的 Cookie 式登入

- 使用 having 子句時產生錯誤結果計數

- mcrypt:移除需求 (64 位元) 及相關警告

phpMyAdmin 4.2.4.0 (2014/6/20) ===============================

- MediaWiki 匯出不會產生表格標頭列;也修正了相關 PHP 警告

- 每次都將新行新增至查詢

- SQL 的聯結查詢匯出發生嚴重錯誤

- 無法在十六進位標記中轉儲存二進位欄

- 為每個工作階段重新產生 Cookie 加密 IV

- 無法匯入 (open_basedir):修正另一種情況

- SQL 索引標籤 - 插入未顯示的查詢影響了列計數

- 在多伺服器設定上,缺少有關現有帳戶的警告

- WHERE 子句可能未定義

- 忽略了作為表格選項的 SQL 匯出檢視

- [安全性] 因在導覽隱藏中的未逸出資料庫/表格名稱而導致 XSS 插入

- [安全性] 因在最近/最愛表格中的未逸出資料庫/表格名稱而導致 XSS 插入

phpMyAdmin 4.2.3.0 (2014/6/8) ===============================

- 無法正常移動欄位

- 更改欄位後表格索引消失

- 在伺服器層級顯示圖表時發生錯誤

- 無法匯入 (open_basedir)

- 複製限制時發生問題 (例如 Sakila)

- 缺少權限子功能表

- 放置使用者時放置資料庫確認訊息

- 從含有功能下拉式清單的數值欄位中插入

- 因缺少最低支援 MySQL 版本的增強功能而發生問題

- 新增最低支援 PHP 版本 (5.3.0) 的增強功能

- 提交包含已停用輸入欄位的欄變更表單時發生查詢錯誤

- 從使用者群組產生錯誤的功能表索引標籤

- 在索引建立/編輯產生的查詢中缺少空格

- 未勾選「顯示 SQL 查詢」產生了 NaN

phpMyAdmin 4.2.2.0 (2014/5/20) ===============================

- 在導覽樹狀結構中按一下資料庫名稱時,停用資料庫擴展於啟用時擲回了錯誤 500

- performance_schema 資料庫結構的表格顯示

- 保護二進位欄:許多問題

- BLOB 連結轉換損毀

- 遵循導覽面板中的 ['ShowCreateDb']

- 無法在資料庫的導覽面板中看見資料庫;當停用資料庫擴展時分組

- 沒有更多行事曆進入搜尋索引標籤中

- 監視器應符合螢幕寬度

- 複製資料庫時,遺失主要金鑰屬性

- js/messages.php 上的空 maxInputVars

phpMyAdmin 4.2.1.0 (2014/5/13) ===============================

- 無法顯示列舉中包含特殊字元的表格結構

- 無法移除上次記住的排序欄

- 在 MySQL 表格中正確擷取使用者與主機欄位的長度

- 範例/signon.php 不支援 SessionSavePath 指示詞

- 遺失 OpenLayers 程式庫的來源

- 數字欄位的屬性不正確

- 無法更新縮放搜尋中的值

- GIS 視覺化延伸無法與 PointFromText() 函式搭配使用

- 當在資料庫結構頁面上截斷或放置表格時顯示錯誤的「列」總計

- 對排序欄進行的 Grid 編輯失敗

- 編輯時,Null 核取方塊包含資料輸入

- 資料類型自行變更 (不存在大小,但存在屬性)

phpMyAdmin 4.2.0.0 (2014/5/8) ===============================

- 僅匯出觸發器

- 匯出不含觸發器的伺服器/資料庫/表格

- 在資料庫結構頁面上新增表格註解工具提示

- 顯示字元集與定序的單一表格

- 針對表格列動作顯示圖示/文字/兩者

- 將布林值轉換為文字的轉換

- 變更使用者密碼會將其刪除

- 文字轉換合併了附加及前置

- 已新增有關 mysql 延伸正在取代及移除延伸指示詞的警告

- 已新增對於分散圖表的支援

- 使欄標頭可以固定

- 增強權限初始表格

- [介面] 破壞含子功能表的「編輯權限」

- 需要次要重構

- 在 SQL 匯出的結尾建立索引

- 更大監視器的關係編輯表單

- 內嵌查詢方塊垂直重新調整大小

- [介面] 將下方邊界新增至上方功能表容器

- 為「時間」類型新增 datepicker

- 在 SQL 連結中洩漏 HTTP Referer

- 在導覽暫留時顯示全名

- 在導覽面板中按一下常式時的行為

- 支援有關 CSV 匯入的多個分隔字元

- 按範例載入/儲存查詢

- 嘗試選取時 Grid 編輯 ENUM 欄位,對話方塊消失

- 使用 zip 壓縮進行資料庫匯出會產生空的封存

- 位於上方的確認訊息

- 建立表格時 breadcrubs 錯誤

- 對於複製的更佳驗證資料庫名稱

- 資料庫索引標籤「中斷」按鈕應為連結

- 反白顯示在提交失敗後需要的表單欄位

- 在工作階段到期後重新導向至登入頁面

- Grid 編輯:無法在日期欄位上變更月

- 以長度規格按欄位新增最大長度

- 在未提供檔案名稱的情況下順利匯入並不會產生任何影響

- 自動將函式新增至所有插入方塊

- 跳過大於 n 之表格的選項

- 停用資料庫擴展的可能性

- 最愛表格選取方塊

- 針對結構編輯,$cfg['CharEditing']='textarea'

- 避免編輯屬於關係一部分的欄位

- [介面] 在設定中反白顯示作用中左邊功能表項目

- 於瀏覽期間篩選畫面顯示列

- 已移除對於 SQL 驗證器的支援 (不再提供 SOAP 服務)

- 設定 > 管理:錯誤訊息

- 動作區域中的「更多」無法摺疊以符合可用空間

- 為兩個資料庫建立群組,其中一個的名稱是另一個的前置詞

- 混淆資料庫/表格分組

- 建立索引並不會更新索引清單

請注意,Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下,嘗試自動清理並將其格式化。

解決方案

更新受影響的 phpMyAdmin 套件。

另請參閱

https://bugzilla.redhat.com/show_bug.cgi?id=1067713

https://bugzilla.redhat.com/show_bug.cgi?id=1117600

https://bugzilla.redhat.com/show_bug.cgi?id=1117601

https://bugzilla.redhat.com/show_bug.cgi?id=989660

https://bugzilla.redhat.com/show_bug.cgi?id=989668

https://bugzilla.redhat.com/show_bug.cgi?id=993613

http://www.nessus.org/u?d2f50218

Plugin 詳細資訊

嚴重性: Medium

ID: 76917

檔案名稱: fedora_2014-8577.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2014/7/31

已更新: 2021/1/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:fedoraproject:fedora:phpmyadmin, cpe:/o:fedoraproject:fedora:19

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/7/21

弱點發布日期: 2013/7/31

參考資訊

CVE: CVE-2013-4998, CVE-2013-4999, CVE-2013-5000, CVE-2013-5003, CVE-2013-5029, CVE-2014-1879, CVE-2014-4348, CVE-2014-4349

BID: 61512, 61513, 61515, 61804, 61923, 65717, 68201, 68205

FEDORA: 2014-8577