Fedora 30：php-phpmyadmin-sql-parser/phpMyAdmin（2019-13d2ba0aed）

critical Nessus プラグイン ID 125906

Language:

概要

リモートのFedoraホストに1つ以上のセキュリティ更新プログラムがありません。

説明

Upstreamの発表：

重要なセキュリティの修正を含むバグ修正リリースである**phpMyAdmin 4.9.0.1**へようこそ。

このリリースは次の2つのセキュリティの脆弱性を修正します。

- PMASA-2019-3は、Designer機能のSQLインジェクションの欠陥です

- PMASA-2019-4は、「cookie」ログインフォームから行えるCSRF攻撃です

すべてのユーザーにアップグレードを強くお勧めします。「cookie」の代わりに「http」auth_typeを使用することで、CSRF攻撃を緩和できます。

CSRF攻撃のソリューションでは、URLパラメーターを通じて直接ログインするための以前の機能は削除しません（https://example.com/phpmyadmin/?pma_username=root&password=fooなど、FAQ 4.8で言及されているもの）。このような動作は推奨されず、現在は削除されています。その他のクエリパラメーターは期待通りに動作します。 pma_usernameおよびpma_passwordのみが削除されました。

このリリースには、以下を含む多数のバグの修正も含まれています：

- SYSTEM VERSIONINGテーブルに関する複数の問題

- エクスポートのjsonエンコードエラーを修正

- 入力時にアクティブ化されないJavaScriptイベントを修正（sqlブックマークの問題）

- 制約の追加時にDesignerコンボボックスを表示

- 編集ビューを修正

- ビットフィールドの無効なデフォルト値を修正

- GISデータタイプに関連するいくつかのエラーを修正します

- JavaScriptエラー「PMA_messagesが定義されていません」を修正

- 先行するゼロがあるXMLデータのインポートを修正

- php通知を修正し、「DELETE HISTORY」テーブル権限のサポートを追加（MariaDB >= 10.3.4）

- GIS表示のMySQL 8.0.0問題を修正

-「データベースサーバー」タブの「サーバー文字セット」に間違った情報が表示される問題を修正

- Percona Server 5.7でユーザーをコピーできない問題を修正

- sql-parserをバージョン4.3.2に更新。これにより、いくつかの解析と処理の問題が修正されます

多数のバグ修正があります。弊社の開発者、Google Summer of Codeの志望者、その他の貢献者の尽力によるものです。

phpMyAdminチーム

----

**phpmyadmin/sql-parserバージョン4.3.2**

- build()出力の冗長な空白を修正します（#228）

- ALTER操作のDEFAULTキーワードの不適切なエラーを修正します（#229）

- Query: : getClauseからの不適切な出力を修正します（#233）

- stdinからのSQLファイルの読み取りに対するサポートを追加します

- Composerのvendor/bin/directoryの欠如したtokenize-queryを修正します

- 不完全なCASE式によるPHP警告を修正します（#241）

- 複数のCALLステートメントを含むエラーメッセージを修正します（#223）

- 疑問符の文字をパラメーターとして認識します（#242）

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。