Fedora 29：phpMyAdmin（2019-09ae31d880）

critical Nessus プラグイン ID 122070

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

Upstream の告知：# セキュリティ修正：phpMyAdmin 4.8.5がリリースされました

phpMyAdminチームは、**phpMyAdminバージョン4.8.5**のリリースを発表しています。その他のバグ修正の中で、これには**いくつかの重要なセキュリティの修正**が含まれています。すべてのユーザーにアップグレードを強くお勧めします。

セキュリティ修正には以下が含まれます：

- 任意のファイル読み取りの脆弱性（https://www.phpmyadmin.net/security/PMASA-2019-1）

- DesignerインターフェイスのSQLインジェクション（https://www.phpmyadmin.net/security/PMASA-2019-2）

任意ファイル読み取りの脆弱性も悪用され、サーバー上の任意のファイルが削除される可能性があります。この攻撃では、phpMyAdminを「$cfg['AllowArbitraryServer']」ディレクティブをtrueに設定して実行する必要があります。これはデフォルトではありません。攻撃者は、MySQLサーバーになりすます悪意のあるサーバープロセスを実行する必要があります。この悪用は、いくつかの他の関連プロジェクトで最近発見され、修正されており、PHPのバグが原因であると考えられます（https://bugs.php.net/bug.php?id=77496）。

このリリースには、セキュリティ修正に加えて、通常のリリースサイクルの一部として、これらのバグ修正やその他が含まれています：

- SQL形式へのエクスポートが利用不可

- ユーザーアカウントに二要素認証を追加する際に、QRコードが表示されない

- MySQL 8.0.11以降の新規ユーザーの追加に関する問題

- Text_Plain_Sqlプラグインに関連するフリーズしたインターフェイス

- テーブルレベルの「操作」タブがありませんでした

さらにいくつかあります。完全な注記が、このリリースに含まれている変更ログファイルにあります。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。