phpMyAdmin 開發團隊報告：

可使用特製的資料庫名稱發動 XSS。

3.5.0.0 的變更 (2012 年 4 月 7 日)：

- [介面] 新增大量前置詞變更的支援。

- [顯示] 主頁面會在目前版本為最新時顯示「最新」訊息

- [功能] 更新至 jQuery 1.6.2

- [搜尋] 顯示/隱藏 db 搜尋結果

- [修補程式] 新增訊息周圍的 gettext 包裝函式

- [清理] 移除已過時的函式 PMA_DBI_get_fields

- [功能] 記住最近的表格

- [功能] 記住每張表格的最近一次排列順序

- [ajax] 用於在導覽面板中建立表格

- [功能] 關於欄的字眼

- [ajax] AJAX 用於在資料庫權限中新增使用者

- [功能] 新的 DisableMultiTableMaintenance 指示詞

- [介面] 重新組織的伺服器狀態頁。

- [介面] 更改圖表產生的方式。

- [介面] 彈性的欄寬

- [介面] 在查詢結果中依滑鼠方式重新排列欄

- [ajax] 用於從資料庫結構頁面插入表格中的 AJAX

- [修補程式] PMA_ajaxShowMessage() 不接受逾時

- [ajax] 用於變更表格瀏覽中多列的 AJAX

- [介面] 已改善儲存常式支援

- [顯示] 更多瀏覽 GIS 資料的選項

- [介面] 空間索引支援

- [顯示] GIS 資料視覺化

- [ajax] 用於表格結構多欄變更的 AJAX

- [ajax] 用於表格結構索引編輯的 AJAX

- [功能] 顯示/隱藏表格結構中的索引

- [顯示] 更精簡的導覽列

- [顯示] 依預設不再顯示顯示方向 (水平/垂直)

- [功能] 資料庫結構中的 Shift/點擊支援

- [顯示] 顯示/隱藏表格瀏覽中的欄

- [ajax] AJAX 對話方塊使用錯誤的字型大小

- [介面] 時間選擇器不能在 AJAX 對話方塊中運作

- [ajax] 用於表格結構索引編輯的 AJAX

- [ajax] 用於表格結構欄變更的 AJAX

- [介面] 已改善事件支援

- [介面] 已改善觸發程序支援

- [介面] 已改善伺服器監控

- [ajax] 用於表格結構欄新增的 AJAX

- [ajax] 用於表格作業複製表格的 AJAX

- [匯出] 未匯出任何 uid 查詢結果 (Suhosin 限制)

- [功能] 瀏覽模式中的格線編輯 (取代列內嵌編輯)

- [功能] 表格搜尋的縮放搜尋

- [介面] GIS 資料的編輯器

- [匯入] 匯入 ESRI 形狀檔的 GIS 資料

- [介面] GIS 資料的「函式型搜尋」

- [資料庫] 支援 Drizzle 資料庫

- [介面] 具備 LIMIT 子句的查詢之介面問題

- [介面] 移除 DefaultPropDisplay 功能

- [prettyprint] 含有註解字元之查詢中的排序依據

- [介面] 已改善 ENUM/SET 編輯器

- [pmadb] 不同 MySQL 伺服器上的 pmadb

- [介面] 正在改善字元欄的欄位大小

- [可用性] 已移除資料庫搜尋中不必要的 AJAX 要求

- [導覽] 擠壓頁面時的定位鍵分隔

- [導覽] 頁面捲動時，將表格工具固定在頁面頂端

- [介面] 已改善錯誤處理

- [介面] 在頁面選擇器中新增有用的中繼頁面

- [介面] 已改善索引編輯器

- [顯示] 透過產生的 ALTER VIEW 檢視編輯

- [介面] 從 DB 刪除表格未改變表格計數器

- [設計工具] 關聯線的切換

- [ajax] 資料庫清單在新增/刪除使用者+資料庫後未更新

- [編輯] 按金鑰排序產生的 sql 錯誤，且含 limit 子句

- [結構] 放置不存在欄的索引時發生錯誤

- [顯示] 翻閱從檢視傳回的列

- [介面] 保留 SQL 輸入的核取方塊

- [匯出] 已修正匯出的 CSV 逸出

- [匯入] 已修正匯入的 CSV 逸出

- [介面] 搜尋表單中的語法錯誤沒有警告

- [核心] 已改善 SSL 連線偵測

- [功能] FULLTEXT 支援，適用以 MySQL 5.6.4 啟動的 InnoDB

- [介面] 重複的內嵌查詢編輯方塊

- [mime] 工具提示中遺失轉換的說明

3.4.11.0 的變更 (尚未發佈)：

- [匯入] XML 匯入發生的例外狀況

- [導覽] $cfg[’ShowTooltipAliasTB’] 及導覽中出現空白名稱

3.4.10.2 的變更 (2012 年 3 月 28 日)：

- [安全性] 修正本機路徑洩漏弱點，請參閱 PMASA-2012-2

3.4.10.1 的變更 (2012 年 2 月 18 日)：

- [安全性] 有關複寫設定中的 XSS，請參閱 PMASA-2012-1

3.4.10.0 的變更 (2012 年 2 月 14 日)：

- [介面] TextareaAutoSelect 功能損毀

- [匯出] PHP 陣列匯出可能產生無效的 php 程式碼

- [匯入] 從 ODS 匯入時會忽略與先前儲存格相同的儲存格

- [顯示] SELECT DISTINCT 所顯示找到的總記錄筆數錯誤

- [作業] 複製表格資料遺失 SET SQL_MODE=’NO_AUTO_VALUE_ON_ZERO’

- [編輯] 資料設定為 NULL 以及下拉式清單

- [編輯] 產生的 INSERT 查詢中遺失設定欄位和值

- [程式庫] TCPDF 存在授權問題 (已更新至 5.9.145)

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

- 3.4.10.1 的更新 (bnc#747841 的修正)

- [安全性] 有關複寫設定中的 XSS，請參閱 PMASA-2012-1

- 3.4.10.0 (2012-02-14)

- 錯誤 #3460090 [介面] TextareaAutoSelect 功能損毀

- 修補程式 #3375984 [匯出] PHP 陣列匯出可能產生無效的 php 程式碼

- 錯誤 #3049209 [匯入] 從 ODS 匯入時會忽略與先前儲存格相同的儲存格

- 錯誤 #3463933 [顯示] SELECT DISTINCT 所顯示找到的總記錄筆數錯誤

- 修補程式 #3458944 [作業] 複製表格資料遺失 SET SQL_MODE=’NO_AUTO_VALUE_ON_ZERO’

- 錯誤 #3469254 [編輯] 資料設定為 NULL 以及下拉式清單

- 錯誤 #3477063 [編輯] 產生的 INSERT 查詢中遺失設定欄位和值

- 錯誤 #3460867 [程式庫] TCPDF 存在授權問題 (已更新至 5.9.145)，(bnc#736698 的修正)

遠端 web 伺服器上主控的 phpMyAdmin 版本為 3.4.10.1 以前的 3.4.x 版，且據報受到一個與複寫設定相關的跨網站指令碼弱點影響。

根據其自我識別的版本號碼，遠端 Web 伺服器上主控的 phpMyAdmin 安裝受到一個跨網站指令碼弱點影響。 

此弱點位於 3.4.10.1 之前 3.4.x 版 phpMyAdmin 的複寫設定功能中，可允許使用者協助的遠端攻擊者透過特製的資料庫名稱，插入任意 Web 指令碼或 HTML。

ID	名稱	產品	系列	已發布	已更新	嚴重性
58024	FreeBSD：phpMyAdmin -- 複寫設定中的 XSS (fdd1c316-5a3d-11e1-8d3e-e0cb4e266481)	Nessus	FreeBSD Local Security Checks	2012/2/20	2021/1/6	medium
58955	Fedora 17 : phpMyAdmin-3.5.0-1.fc17 (2012-5599)	Nessus	Fedora Local Security Checks	2012/5/2	2021/1/11	medium
58926	Fedora 15 : phpMyAdmin-3.5.0-1.fc15 (2012-5631)	Nessus	Fedora Local Security Checks	2012/5/1	2021/1/11	medium
74557	openSUSE 安全性更新：phpMyAdmin (openSUSE-2012-135)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
58087	phpMyAdmin 3.4.x < 3.4.10.1 XSS (PMASA-2012-1)	Nessus	CGI abuses : XSS	2012/2/22	2022/4/11	medium
58925	Fedora 16 : phpMyAdmin-3.5.0-1.fc16 (2012-5624)	Nessus	Fedora Local Security Checks	2012/5/1	2021/1/11	medium
59171	phpMyAdmin 複寫設定 js/replication.js 資料庫名稱 XSS	Nessus	CGI abuses : XSS	2012/5/17	2022/4/11	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium