概要
リモート Fedora ホストに、セキュリティ更新がありません。
説明
phpMyAdmin 4.2.6.0(2014/07/17)===============================
- 参照した列を記載した未定義インデックスの警告。
- BROWSING が戻ると $cfg['MaxExactCount'] は無視される
- 複数列のソート(改善されたユーザーエクスペリエンス)
- setup/mysqli にある間、サーバー検証は動作しない
- 外部キーの列をグリッド編集している場合の未定義変数
- mult_submits.inc.php 未定義変数エラー
- ソートすることで、列コピーの機能が中断する
- テーブル名を変更する際の JavaScript エラー
- 「新しいウィンドウ」リンク(selflink)が表示されず、JavaScript エラーが発生する
- ルーチン作成用権限の間違った検出
- 拡張の際、データベース名の最初の数文字がクリックできない
- [セキュリティ] エスケープされていないテーブルコメントによる XSS インジェクション
- [セキュリティ] エスケープされていないテーブル名による XSS インジェクション(トリガー)
- [セキュリティ] AJAX 確認メッセージの XSS
- [セキュリティ] ユーザーグループ機能へのアクセスに対する検証の欠如
phpMyAdmin 4.2.5.0(2014/06/26)===============================
- shell_exec() は、セキュリティ上の理由により無効にされました
- 空のクエリを送信する際のエラー
- 致命的なエラー:クラス「PMA_DatabaseInterface」が見つからない
- mcrypt のないインストールに対するクッキーベースのログインを修正した
- 句を使用している場合の間違った結果カウント
- mcrypt:要件(64 ビット)および関連する警告を削除する
phpMyAdmin 4.2.4.0(2014/06/20)===============================
- MediaWiki エクスポートでは、テーブルヘッダー行を生成しない、関連する PHP 警告も修正する
- クエリを行うたびに新しい行が追加される
- join クエリの SQL Export における致命的なエラー
- 16 進記数法でのバイナリカラムのダンプが動作しない
- どのセッションに対しても、クッキーの暗号化 IV を再生成する
- インポート不可(open_basedir):別のケースを修正する
- SQL タブ - クエリ挿入で、影響を受ける行カウントが表示されない
- マルチサーバー構成における既存アカウントについての警告の欠如
- WHERE 句は未定義の可能性がある
- テーブルオプションとしての SQL エクスポートビューは、無視されている
- [セキュリティ] ナビゲーション非表示でのエスケープされていない db/テーブル名による、XSS インジェクション
- [セキュリティ] 最近/お気に入りテーブルのエスケープされていない db/テーブル名による、XSS インジェクション
phpMyAdmin 4.2.3.0(2014/06/08)===============================
- 移動フィールドは動作していない
- フィールド変更後に、テーブルインデックスは表示されなくなる
- サーバーレベルでチャートを表示する際のエラー
- インポート不可(open_basedir)
- 制約のコピーに関する問題(Sakila など)
- 権限サブメニューの欠如
- ユーザーをドロップする際のドロップ db 確認メッセージ
- 関数ドロップダウンリストを備えたフォーム数値フィールドを挿入する
- サポートされている最小 MySQL バージョンを強制しないことによる問題
- サポートされている最小 PHP バージョン(5.3.0)の強制を追加する
- 無効化された入力フィールドを含む列変更フォームを送信する際のクエリエラー
- usergroup からの間違ったメニュータブの生成
- インデックス作成/編集で生成されたクエリでの空間の欠如
- 「SQL クエリの表示」のチェックを外した結果は NaN となる
phpMyAdmin 4.2.2.0(2014/05/20)===============================
- データベース名がナビゲーションツリーでクリックされるときに、Error 500 のスローが有効な場合はデータベース拡張を無効にする
- performance_schema DB 構造のテーブル表示
- 保護バイナリカラム:多数の問題
- BLOB リンク変換が中断される
- navi パネルで ['ShowCreateDb'] を優先する
- データベース拡張が無効な場合、データベースグループ化での nav パネルでデータベースを表示できない
- 検索タブ内にカレンダーはもはや不要
- モニターは画面の幅に収まるべき
- データベースをコピーする際、プライマリキー属性が失われる
- js/messages.php での空の maxInputVars
phpMyAdmin 4.2.1.0(2014/05/13)===============================
- 特殊文字を含む列挙がある場合、テーブル構造を表示できない
- 最後に記憶されたソート済みの列を削除できない
- MySQL テーブルでユーザーフィールドとホストフィールドの長さを正しくフェッチする
- examples/signon.php は、SessionSavePath ディレクティブをサポートしていない
- OpenLayers ライブラリに対するソースの欠如
- 数値フィールドに対する間違った属性
- Zoom 検索で値を更新できない
- GIS Visualization Extension は PointFromText() 関数と連動しない
-DB 構造ページでテーブルを切り捨てるまたはドロップする際に「Rows」合計が間違って表示される
- ソートされた列でグリッド編集が失敗する
- 編集する際、Null チェックボックスがデータ入力を扱う
- データ自身によるデータタイプの変更(サイズではなく属性が存在)
phpMyAdmin 4.2.0.0(2014/05/08)===============================
- トリガーのみのエクスポート
- トリガーなしでの、サーバー/データベース/テーブルのエクスポート
- データベース構造ページでテーブルコメントツールチップを追加する
- 文字セットおよび照合順序を表示するための単一テーブル
- テーブル行の操作に対するアイコン/テキスト/両方を表示する
- ブール値をテキストに変換するための変換
- ユーザーのパスワードを変更すると削除される
- テキスト変換で Append と Prepend を組み合わせる
- 拡張ディレクティブが廃止および削除される際の mysql 拡張についての警告を追加した
- 散布図に対するサポートを追加した
- 列見出しを付箋にする
- 権限イニシャルテーブルを強化する
- [インターフェイス]「権限を編集」をサブメニューで分割する
- マイナーなリファクタリングが必要
- SQL エクスポートで最後にインデックスを作成する
- より大きなモニターのための関連編集フォーム
- インラインクエリボックスの縦サイズの変更
- [インターフェイス] トップメニューコンテナに下部境界線を追加する
- 「TIME」タイプ向けの datepicker を追加する
- SQL リンクでの HTTP リファラーの漏洩
- ナビゲーションホバーでフルネームを表示する
- nav パネルにおけるルーチンでのクリック時の動作
- CSV インポートで複数の区切り文字をサポートする
- ロード/保存クエリの見本
- 選択してみると、グリッド編集 ENUM フィールド、ダイアログが表示されなくなる
- zip 圧縮を使用した DB エクスポートは、空のアーカイブを生成する
- 最上部での確認メッセージ
- テーブル作成での breadcrub の誤り
- コピーに対するデータベース名の検証を改善する
- データベースタブの「Drop」ボタンはリンクであるべきである
- 送信に失敗した後に、必須のフォームフィールドを強調する
- セッションの期限が切れた後に、ログインページにリダイレクトする
- グリッド編集:日付フィールドで月を変更できない
- 長さ指定のあるフィールドごとに最長を追加する
- ファイル名の指定がない場合、インポートは何もしない
- すべての挿入ボックスに機能を自動的に追加する
- n より大きなテーブルをスキップするためのオプション
- データベース拡張を無効にする可能性
- お気に入りテーブルの選択ボックス
- 構造編集用の $cfg['CharEditing']='textarea'
- リレーションの一部であるフィールドの編集を避ける
- [インターフェイス] セットアップで、アクティブな左側のメニュー項目を強調する
- ブラウズ中に画面上の行をフィルター処理する
- SQL Validator のサポートを削除した(SOAP サービスの提供廃止)
- 設定 > 管理:間違ったメッセージ
- Action 領域で「More」が折りたたまれず、空いているスペースに収まらない
- 2 つの DB をグループ化し、一方の名前を他方の名前のプレフィックスとする
- 分かりにくいデータベース/テーブルのグループ化
- インデックスを作成しても index-list が更新されない
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける phpMyAdmin パッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2014-8577.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:phpmyadmin, cpe:/o:fedoraproject:fedora:19
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available
参照情報
CVE: CVE-2013-4998, CVE-2013-4999, CVE-2013-5000, CVE-2013-5003, CVE-2013-5029, CVE-2014-1879, CVE-2014-4348, CVE-2014-4349
BID: 61512, 61513, 61515, 61804, 61923, 65717, 68201, 68205