Fedora 14:phpMyAdmin-3.4.1-1.fc14 (2011-7702)
medium Nessus 插件 ID 55006
语言:
简介
远程 Fedora 主机缺少安全更新。描述
欢迎使用 phpMyAdmin 3.4,展示新的默认主题。此版本包含新功能,尤其是:- 用户首选项
- 关系方案以多种格式导出
- ENUM/SET 编辑器
- 简化的导入/导出界面
- 某些部分的 AJAXification
- 图表
- 可视化查询生成器
此处是变更日志:
3.4.1.0 的变更(2011 年 5 月 20 日)
- [界面] 同步并已配置主机
- [缺陷] 内联编辑和 $cfg['PropertiesIconic']
- [修补程序] 显示转换过的标签
- [导航] 表过滤器区分大小写
- [权限] 恢复临时补丁
- [同步] 同步和用户名
- [核心] 一些浏览器报告不安全的 https 连接
- [安全] 使重定向器要求有效的标记(请参见 PMASA-2011-3 和 PMASA-2011-4)
3.4.0.0 的变更(2011 年 5 月 11 日)
- [视图] 启用视图重命名
- [权限] 导出用户的权限
- [核心] 更新了 mootools 以修复 Safari 的某些小故障。
- [界面] 添加了 REGEXP ^...$ 来选择对话框。
- [界面] 添加了插入忽视选项来编辑行。
- [界面] 在禁用 JavaScript 时显示警告。
- [编辑] 单独调用函数 UUID 以插入中显示该函数。
- [导出] 允许导出 UTC 中的时间戳。
- [核心] 删除会话中的配置数据,因其带来先有鸡还是先有蛋的问题。
- [核心] Cookie 路径现在遵从 PmaAbsoluteUri。
- [核心] phpMyAdmin 遵从 PmaAbsoluteUri 中的 https。
- [核心] 试图通过重命名移动表,如果失败将无法创建/插入。
- [核心] 强制在代码更改中重新加载 js。
- [界面] 在服务器状态上不显示长串的数字。
- [编辑] 添加只显示插入查询的选项。
- [界面] 将 SSL 状态移至末尾,通常为空。
- [界面] 显示表结构中的列编号。
- [界面] 添加链接以重新加载导航框架。
- [认证] 通过会话数据登录认证转发错误消息。
- [界面] 将 ^1 移至消息末尾。
- [界面] 将结构中不适用的操作变灰
- [界面] 允许从导航框架中创建新表(在 light 模式下)。
- [浏览] 添加二进制字段直接下载。
- [浏览] 正确显示 BLOB 的 NULL 值。
- [编辑] 允许通过 ProtectBinary 将 BLOB 设置为 NULL 或将 NULL 设置为 BLOB。
- [编辑] 在使用文件上传时,不默认为 UNHEX。
- [核心] 添加配置 session_save_path 的选项。
- [界面] 提供指向突出显示的 SQL 文档的链接。
- [界面] 现在可以在支持 JS 的浏览器的大多数页面添加书签。
- [核心] 修复 SSL 检测。
- [文档] 为 chk_rel.php 快速设置添加提示。
- [界面] 向一些元素添加类以便更好地体现主题。
- [文档] 向 config.sample.inc.php 添加一些有趣的配置。
- [文档] 添加建议以便在更改 pmadb 设置后重新登录
- [界面] 在 tbl_operations.php 中预先填入“将表复制到”,感谢 iinl
- [语言] 添加英文(英国)翻译,感谢 Robert Readman。
- [认证] HTTP Basic 认证领域名称,感谢 Harald Jenny
- [界面] 不向非格式化 SQL 插入 doc 链接。
- [语言] 简体中文更新,感谢 Shanyan Baishui
- [语言] 土耳其语更新,感谢 Burak Yavuz
- [界面] 点击“SQL”链接后关注 TEXTAREA 'sql_query'
- [语言] 乌兹别克语更新,感谢 Orzu Samarqandiy
- [导入] 导入后,列出上传的文件名,感谢 Pavel Konnikov 和 Herman van Rink
- [结构] 如果可能,单击数据库结构中的表名即可浏览该表,感谢 bhdouglass
- [搜索] 新的搜索运算符,感谢 Martynas Mickeviius
- [设计者] 基于主键的颜色关系,感谢 GreenRover
- [核心] 为供应商提供轻松更改配置文件路径的方式。
- [界面] 添加内联查询编辑,感谢 Muhammd Adnan.
- [设置] 允许在设置脚本中配置更改跟踪。
- [编辑] 可选择性地禁用“类型”列,感谢 Brian Douglass
- [编辑] 用于快速创建通用 SQL 查询的按钮,感谢 sutharshan。
- [界面] 将导出/导入的加载转换为 jQuery ready 事件,感谢 sutharshan。
- [编辑] CURRENT_TIMESTAMP 也对时间日期字段有效。
- [引擎] 修复 PBXT 状态的解析,感谢 Madhura Jayaratne。
- [界面] 将上传进度条转换为 jQuery,感谢 Philip Frank。
- [界面] 为时间日期输入添加 JavaScript 验证,感谢 Sutharshan Balachandren。
- [界面] 默认排序顺序现已变得智能。
- [界面] 修复非 IE 浏览器的标题切换。
- [界面] 允许从配置中选择服务器以实现同步。
- [关系] 改进 ON DELETE/ON UPDATE 下拉
- [关系] 改进关系视图中的标签
- [界面] 使用 jQuery 日历对话框,感谢 Muhammad Adnan。
- [文档] 将同步文档并入主文档。
- [核心] 包括内容安全策略 HTTP 标头。
- [CSS] 字段属性使用内联 CSS
- [界面] 清理导航框架。
- [核心] 阻止发送不必要的 cookie,感谢 Piotr Przybylski
- [密码] 仅在启用了 JS 时可以生成密码(修复了权限和密码更改问题)
- [核心] RecodingEngine 现在接受 none 作为有效选项。
- [核心] 丢弃 AllowAnywhereRecoding 配置变量。
- [界面] 定义 SQL 表单中的选项卡顺序以便于选项卡导航。
- [核心] 集中处理格式字符串扩展,@VARIABLES@ 是现在文件名模板、默认查询、导出和标题生成使用的建议方式。
- [验证器] SQL 验证器也与 SOAP PHP 扩展配合工作。
- [界面] 更好地格式化 SQL 验证器的结果。
- [文档] 链接的表基础架构现在称为 phpMyAdmin 配置存储。
- [界面] 将放下/空链接从状态标签移动到“操作”标签。
- [界面] 修复了错误/通知/信息标题背景的渲染。
- [文档] 语言和语法修复,感谢 Isaac Bennetch
- [导出] JSON 导出,感谢 Hauke Henningsen
- [界面] SET/ENUM 字段编辑器。
- [界面] 简化用于备份/还原的界面。
- [通用] 用户首选项
- [关系] 丢弃的 WYSIWYG-PDF 配置变量。
- [关系] 导出关系至 Dia、SVG 和其他
- [界面] 向状态选项卡、分析页面和查询结果添加图表
- [界面] 多个页面上的 AJAXification
- [核心] 删除 2006 年所删除分析代码的最后剩余部分。
- [解析器] 为处理反撇号的 MySQL 方式添加变通方案。
- [界面] 删除针对 information_schema 的修改选项
- [配置] 添加左框架表过滤器可视化配置选项,感谢 eesau
- [核心] 强制登录时生成新会话
- [界面] 终止 page-break-before,因其对较小的表无用。
- [界面] 允许封装枚举值。
- [界面] 不自动标记要删除的 PDF 方案行
- [界面] 不在第一个字符中应用 LeftFrameDBSeparator。
- [界面] 在表视图中突出显示并标记列
- [通用] 可视化查询生成器
- [界面] 阻止在确认弹出窗口中显示过长的查询
- [导航] 左面板表分组错误,感谢 garas - garas
- [界面] 避免 MySQL 出现双转义错误。
- [界面] 在服务器图表和数据库统计数据中使用较少的嘈杂消息并删除禁用的链接。
- [关系] 在显示结果时,即使 phpMyAdmin 配置存储处于非活动状态,仍会显示到外部表的链接
- [关系] 外键输入选项
- [导出] 更好地处理如何导出到 PHP 数组。
- [权限] 如果删除用户,则无 DROP DATABASE 警告
- [界面] 向状态变量的文档添加链接。
- [安全] 重定向外部链接以避免引用泄露。
- [界面] 默认不对数据库中的表计数。
- [界面] 复制表格行的快捷方式。
- [认证] 重置用户登录缓存。
- [界面] 用 $cfg['LimitChars'] 替换硬编码限制。
- [界面] 指示浏览器中使用了书签。
- [界面] 指示界面中的共享书签。
- [搜索] 数据库搜索中 Ajaxify 浏览和删除标准,感谢 Thilanka Kaushalya
- [界面] 新默认主题 pmahomme,丢弃的 darkblue_orange 主题。
- [认证] 允许使用登录方法传递其他参数。
- [认证] 使用登录方法为 OpenID 认证添加示例。
- [dbi] 默认为 mysqli 扩展。
- [界面] 向 SQL 编辑框添加清除按钮。
- [核心] 将库 PHPExcel 更新到 1.7.6 版
- [核心] 在不安装 mbstring 的情况下工作。
- [界面] 添加至变量文档的链接。
- [导入] 修复 utf-8 XML 文件的导入。
- [认证] 在登录 URL 更改中强制登录认证。
- [核心] 同步未遵从 AllowArbitraryServer
- [同步] 包含单引号的数据阻止同步,感谢 jviewer
- [通用] 删除自定义颜色选择器功能
- [权限] 不对缺失的权限静默失败以执行 REVOKE ALL PRIVILEGES
请注意,Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。
解决方案
更新受影响的 phpMyAdmin 程序包。另见
插件详情
严重性: Medium
ID: 55006
文件名: fedora_2011-7702.nasl
版本: 1.16
类型: local
代理: unix
发布时间: 2011/6/9
最近更新时间: 2021/1/11
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 6.5
时间分数: 4.8
矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:fedoraproject:fedora:phpmyadmin, cpe:/o:fedoraproject:fedora:14
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2011/5/30
漏洞发布日期: 2011/5/30
参考资料信息
FEDORA: 2011-7702