phpMyAdmin 3.5.8.0（2013/04/08）===============================

- [バグ] MariaDB が MySQL として報告されます

- [バグ] Safari 6.0 のヘッダーが不適切です

- [バグ] 編集を発生させようとすると NULL になります

- [変更] HTML5 DOCTYPE を使用します

- [セキュリティ] GIS ビジュルアル化ページにある Self-XSS、Janek Vind 氏による報告

- [バグ] 不適切なキーハンドラーの挙動 #2

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

リモートホストは、GLSA-201311-02 で説明されている脆弱性の影響を受けます（phpMyAdmin：複数の脆弱性）

phpMyAdmin に複数の脆弱性が発見されました。詳細については、以下で参照されている CVE 識別子をレビューしてください。
 影響：

認証されているリモートの攻撃者が、これらの脆弱性を悪用して、phpMyAdmin を実行しているプロセスの権限で任意のコードを実行したり、SQL コードを挿入したり、クロスサイトスクリプティングやクリックジャッキングの攻撃を実行したりする可能性があります。
 回避策：

現時点で、既知の回避策はありません。

3.5.8 より前の 3.5.x の phpMyAdmin において、tbl_gis_visualization.php にある複数のクロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が (1) visualizationSettings[width] または (2) visualizationSettings[height] パラメーターを通じて、任意の Web スクリプトまたは HTML を注入できる可能性があります（CVE-2013-1937）。

このアップグレードにより、最新の phpmyadmin バージョン（3.5.8）が提供され、この脆弱性に対処します。

phpMyAdmin 開発チームによる報告：

細工された値で URL パラメーターを変更するときに、XSS を発生させることができます。

これらの XSS を誘発できるのは、有効なデータベースが知られているときと、有効なクッキートークンが使用されているときのみです。

自己確認されたバージョン番号によると、リモート Web サーバーでホストされている phpMyAdmin 3.5.x のインストールは、3.5.8 より前であるため、複数のクロスサイトスクリプト脆弱性の影響を受けます：「tls_gis_visualization.php」スクリプトの「visualizationSettings[width]」と「visualizationSettings[height]」のパラメーター内に欠陥が存在します。権限のないリモートの攻撃者はこの欠陥を悪用して、ユーザーのブラウザーで任意のスクリプトコードを実行することがあります。

phpMyAdmin のこの更新は、いくつかのセキュリティの問題を修正します。

- 3.5.8.1 に更新します（2013-04-24）

- [セキュリティ] リモートコードの実行（preg_replace）、Janek Vind 氏による報告（PMASA-2013-2 を参照）

- [セキュリティ] ローカルに保存されている SQL ダンプファイルの複数ファイル拡張のリモートコードの実行、Janek Vind 氏による報告（PMASA-2013-3 を参照）

- bnc#824301 の修正

- PMASA-2013-2（CVE-2013-3238）

- bnc#824302 の修正

- PMASA-2013-3（CVE-2013-3239）

- 3.5.8 に更新します（2013/04/08）

- sf#3828 MariaDB が MySQL として報告されます

- sf#3854 Safari 6.0 のヘッダーが不適切です

- sf#3705 編集を発生させようとすると NULL になります

- HTML5 DOCTYPE を使用します

- [セキュリティ] GIS ビジュルアル化ページにある Self-XSS、Janek Vind 氏による報告 PMASA-2013-1 を参照してください

- sf#3800 不適切なキーハンドラーの挙動 #2

- bnc#814678 の修正

- PMASA-2013-1（CVE-2013-1937）

ID	名前	製品	ファミリー	公開日	更新日	深刻度
66182	Fedora 18：phpMyAdmin-3.5.8-1.fc18（2013-5620）	Nessus	Fedora Local Security Checks	2013/4/23	2021/1/11	medium
70753	GLSA-201311-02：phpMyAdmin：複数の脆弱性	Nessus	Gentoo Local Security Checks	2013/11/5	2021/1/6	medium
66156	Mandriva Linux セキュリティアドバイザリ：phpmyadmin（MDVSA-2013:144）	Nessus	Mandriva Local Security Checks	2013/4/20	2021/1/6	medium
66183	Fedora 17：phpMyAdmin-3.5.8-1.fc17（2013-5623）	Nessus	Fedora Local Security Checks	2013/4/23	2021/1/11	medium
66169	FreeBSD：phpMyAdmin -- GIS 可視化ページで HTML 出力がエスケープされないため生じる XSS（7280c3f6-a99a-11e2-8cef-6805ca0b3d42）	Nessus	FreeBSD Local Security Checks	2013/4/22	2021/1/6	medium
66181	Fedora 19：phpMyAdmin-3.5.8-1.fc19（2013-5604）	Nessus	Fedora Local Security Checks	2013/4/23	2021/1/11	medium
66203	phpMyAdmin 3.5.x < 3.5.8 tbl_gis_visualization.php の複数の XSS	Nessus	CGI abuses : XSS	2013/4/24	2022/4/11	medium
75055	openSUSE セキュリティ更新： phpMyAdmin（openSUSE-SU-2013 1065-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium