phpMyAdmin 4.4.6.1 (2015-05-13) ===============================

- [安全性] 設定中的 CSRF 弱點

- [安全性] 允許攔截式攻擊的弱點

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

phpMyAdmin 開發團隊報告：

phpMyAdmin 設定中的一個 XSRF/CSRF 弱點。

透過誘騙使用者按一下特製的 URL，可能會更改使用 phpMyAdmin 設定產生的組態檔。

此弱點只會影響組態檔產生處理程序，不會影響有效的組態檔。
此外，只有在產生的組態檔可寫入期間，該檔案才處於風險之下。

允許對 GitHub 的 API 呼叫發動攔截式攻擊的弱點。

GitHub 之 API 呼叫中有一個弱點，可遭惡意利用以執行攔截式攻擊。

我們認為此弱點很嚴重。

已在 phpMyAdmin (適用於 MySQL 的 web 系統管理工具) 中修正數個問題：

- CVE-2014-8958 (僅限 Wheezy) 多個跨網站指令碼 (XSS) 弱點。

- CVE-2014-9218 (僅限 Wheezy) 長密碼造成的拒絕服務 (資源消耗)。

- CVE-2015-2206 由於反應的參數而有遭受 BREACH 攻擊的風險。

- CVE-2015-3902 phpMyAdmin 設定中的一個 XSRF/CSRF 弱點。

- CVE-2015-3903 (僅限 Jessie) 允許對 GitHub 的 API 呼叫發動攔截式攻擊的弱點。

- CVE-2015-6830 (僅限 Jessie) 允許繞過 reCaptcha 測試的弱點。

- CVE-2015-7873 (僅限 Jessie) 將使用者重新導向至外部網站時發現的內容偽造弱點。

根據其自我報告的版本，遠端 Web 伺服器上主控的 phpMyAdmin 應用程式為 4.0.10.10 之前的 4.0.x 版、4.2.13.3 之前的 4.2.x 版、4.3.13.1 之前的 4.3.x 版或 4.4.6.1 之前的 4.4.x 版。因此，會受到多個弱點影響。

  - 在 4.0.10.10 之前的 4.0.x 版、4.2.13.3 之前的 4.2.x 版、4.3.13.1 之前的 4.3.x 版，以及 4.4.6.1 之前的 4.4.x 版的 phpMyAdmin 中，其設定處理程序中存在多個跨網站要求偽造 (XSRF) 弱點，這些弱點允許遠端攻擊者劫持系統管理員對修改設定檔之要求的驗證。
    (CVE-2015-3902)

  - 在 4.0.10.10 之前的 4.0.x 版、4.2.13.3 之前的 4.2.x 版、4.3.13.1 之前的 4.3.x 版，以及 4.4.6.1 之前的 4.4.x 版的 phpMyAdmin 中，libraries/Config.class.php 禁用了透過 SSL 呼叫對 GitHub API 進行的 X.509 證書驗證，著允許中間人攻擊者透過建構的證書來偽造伺服器並取得敏感資訊。(CVE-2015-3903)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

phpMyAdmin 已更新至 4.2.13.3 版，修正了三個安全性問題。

下列弱點已修正：

- CVE-2015-3902：設定中的 CSRF 弱點 (PMASA-2015-2、boo#930992)

- CVE-2015-3903：允許攔截式攻擊的弱點 (PMASA-2015-3、boo#930993)

- CVE-2015-2206：BREACH 攻擊的風險 (PMASA-2015-1、boo#920773)

也包含 4.2.13 分支中的所有上游錯誤修正。

ID	名稱	產品	系列	已發布	已更新	嚴重性
83827	Fedora 22 : phpMyAdmin-4.4.6.1-1.fc22 (2015-8190)	Nessus	Fedora Local Security Checks	2015/5/27	2021/1/11	medium
83441	FreeBSD：phpMyAdmin -- XSRF 與攔截式弱點 (c6e31869-f99f-11e4-9f91-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2015/5/14	2021/1/6	medium
86665	Debian DSA-3382-1：phpmyadmin - 安全性更新	Nessus	Debian Local Security Checks	2015/10/30	2021/1/11	medium
143273	phpMyAdmin 4.0.x < 4.0.10.10 / 4.2.x < 4.2.13.3 / 4.3.x < 4.3.13.1 / 4.4.x < 4.4.6.1 多個弱點 (PMASA-2015-2、PMASA-2015-3)	Nessus	CGI abuses	2020/11/27	2024/6/4	medium
83509	Fedora 20 : phpMyAdmin-4.4.6.1-1.fc20 (2015-8274)	Nessus	Fedora Local Security Checks	2015/5/18	2021/1/11	medium
83508	Fedora 21 : phpMyAdmin-4.4.6.1-1.fc21 (2015-8267)	Nessus	Fedora Local Security Checks	2015/5/18	2021/1/11	medium
84533	openSUSE 安全性更新：phpMyAdmin (openSUSE-2015-466)	Nessus	SuSE Local Security Checks	2015/7/6	2021/1/19	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium