Upstream の告知：# セキュリティ修正：phpMyAdmin 4.8.5がリリースされました

phpMyAdminチームは、**phpMyAdminバージョン4.8.5**のリリースを発表しています。その他のバグ修正の中で、これには**いくつかの重要なセキュリティの修正**が含まれています。すべてのユーザーにアップグレードを強くお勧めします。

セキュリティ修正には以下が含まれます：

  - 任意のファイル読み取りの脆弱性（https://www.phpmyadmin.net/security/PMASA-2019-1）

  - DesignerインターフェイスのSQLインジェクション（https://www.phpmyadmin.net/security/PMASA-2019-2）

任意ファイル読み取りの脆弱性も悪用され、サーバー上の任意のファイルが削除される可能性があります。この攻撃では、phpMyAdminを「$cfg['AllowArbitraryServer']」ディレクティブをtrueに設定して実行する必要があります。これはデフォルトではありません。攻撃者は、MySQLサーバーになりすます悪意のあるサーバープロセスを実行する必要があります。この悪用は、いくつかの他の関連プロジェクトで最近発見され、修正されており、PHPのバグが原因であると考えられます（https://bugs.php.net/bug.php?id=77496）。

このリリースには、セキュリティ修正に加えて、通常のリリースサイクルの一部として、これらのバグ修正やその他が含まれています：

  - SQL形式へのエクスポートが利用不可

  - ユーザーアカウントに二要素認証を追加する際に、QRコードが表示されない

  - MySQL 8.0.11以降の新規ユーザーの追加に関する問題

  - Text_Plain_Sqlプラグインに関連するフリーズしたインターフェイス

  - テーブルレベルの「操作」タブがありませんでした

さらにいくつかあります。完全な注記が、このリリースに含まれている変更ログファイルにあります。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Fedora 28：phpMyAdmin（2019-6cfd17b03d）

critical Nessus プラグイン ID 122073

バージョン 1.4