Mandriva Linux セキュリティアドバイザリ：phpmyadmin（MDVSA-2014:143）

medium Nessus プラグイン ID 76924

Language:

概要

リモート Mandriva Linux ホストにセキュリティ更新がありません。

説明

phpmyadmin に複数の脆弱性が発見され、修正されています：

4.2.6 より前の phpMyAdmin 4.2.x の libraries/structure.lib.php の PMA_getHtmlForActionLinks 機能でのクロスサイトスクリプティング（XSS）脆弱性によって、認証されているリモートユーザーが、データベース構造ページの構築中に不適切に処理される、細工されたテーブルのコメントによって、任意の Web スクリプトまたは HTML を注入できます（CVE-2014-4954）。

4.0.10.1 より前の 4.0.x、4.1.14.2 より前の 4.1.x、4.2.6 より前の 4.2.x の phpMyAdmin の libraries/rte/rte_list.lib.php の PMA_TRI_getRowForList 機能でのクロスサイトスクリプティング（XSS）脆弱性によって、認証されているリモートユーザーが、データベーストリガーページで不適切に処理される、細工されたトリガー名によって、任意の Web スクリプトまたは HTML を注入することができます（CVE-2014-4955）。

4.0.10.1 より前の 4.0.x、4.1.14.2 より前の 4.1.x、4.2.6 より前の 4.2.x の phpMyAdmin の js/functions.js での複数のクロスサイトスクリプティング（XSS）脆弱性によって、認証されているリモートユーザーが、AJAX 確認メッセージの構築中に不適切に処理される、細工された (1) テーブル名または (2) カラム名によって、任意の Web スクリプトまたは HTML を注入できます（CVE-2014-4986）。

4.1.14.2 より前の 4.1.x、4.2.6 より前の 4.2.x の phpMyAdmin の server_user_groups.php により、認証されているリモートユーザーが、意図しているアクセス制限をバイパスし、viewUsers リクエストを介して MySQL ユーザーリストを読み取ることができます（CVE-2014-4987）。

このアップグレードにより、最新の phpmyadmin バージョン（4.2.6）が提供され、これら脆弱性に対処します。