手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

phpMyAdmin 4.8.4 发布,重要的安全修复

[日期:2018-12-12] 来源:Linux公社  作者:醉落红尘 [字体: ]

phpMyAdmin团队很高兴地宣布发布phpMyAdmin 4.8.4版本。其中包含针对严重的本地文件包含漏洞的修复程序,以及针对其他两个中等严重性安全问题的修补程序。

正如phpMyAdmin PMASA-2018-6咨询中详述的那样,MySQL和MariaDB管理软件的4.0到4.8.3版本存在一个漏洞,可能允许潜在的攻击者利用该工具并访问本地文件的内容。

“攻击者必须能够访问phpMyAdmin配置存储表,尽管这些表可以很容易地在攻击者可以访问的任何数据库中创建,”该通报说。 “攻击者必须拥有有效的凭据才能登录phpMyAdmin;此漏洞不允许攻击者绕过登录系统。”

为了避免使用专门用于解决此漏洞的漏洞来破坏系统,所有phpMyAdmin用户都必须将其安装更新到4.8.4或更新版本。

根据PMASA-2018-8安全公告,“存储的XSS漏洞只能由登录phpMyAdmin的人触发,因为通常的令牌保护可以防止未登录的用户访问所需的表单。”

除了phpMyAdmin 4.8.4版本中修补的漏洞外,其开发团队还包括功能和错误修复,例如更改主题的问题,以及由移动操作引起的“SELECT * FROM`undefined`”错误。

在Fedora 27/Fedora 26/25/24上安装phpMyAdmin

安全修复包括:

  • 本地文件包含(https://www.phpmyadmin.net/security/PMASA-2018-6/),
  • XSRF/CSRF漏洞允许特制URL执行有害操作(https://www.phpmyadmin.net/security/PMASA-2018-7/),以及
    导航树中的XSS漏洞(https://www.phpmyadmin.net/security/PMASA-2018-8/)
  • 除了安全修复程序之外,此版本还包括这些错误修复程序以及更多作为常规发布周期的一部分:

改变主题的问题

  • 当DisableIS为true时,确保正确处理带有点 ('.')的数据库名称
  • 修复消息“复制数据库时出错 (pma__column_info) ”
  • 移动操作导致 "SELECT * FROM `undefined`"错误
  • 使用$cfg['AuthLog']登录到syslog时,$cfg['AuthLogSuccess']真时未记录成功的登录消息
  • 使用Designer进行多次错误和回归
  • 还有几个。完整说明位于此版本附带的ChangeLog文件中。

请注意,对于此版本,我们尝试了预发布公告,以便托管提供商和软件包管理员有机会为安全发布做好准备。如果这对您有帮助,或者您对此技术有任何反馈,请通过公开列表developers@phpmyadmin.net或私人访问security@phpmyadmin.net进行反馈

与往常一样,可从https://www.phpmyadmin.net/downloads/ 获取下载。

直接下载:phpMyAdmin 4.8.4

Fedora 27/Fedora 26/25/24上安装phpMyAdmin  https://www.linuxidc.com/Linux/2018-12/155691.htm

LAMP架构协同应用的实例——phpMyAdmin https://www.linuxidc.com/Linux/2013-07/87645.htm
LAMP应用之phpMyAdmin、Wordpress https://www.linuxidc.com/Linux/2013-04/82757.htm
phpMyAdmin老出现登陆超时解决方法 https://www.linuxidc.com/Linux/2012-09/70715.htm
Ubuntu 16.04安装phpMyAdmin数据库管理工具  https://www.linuxidc.com/Linux/2016-11/137483.htm
Ubuntu 安装phpMyAdmin与Adminer https://www.linuxidc.com/Linux/2012-08/69419.htm
在LAMP基础上实现SSL功能并安装phpMyAdmin https://www.linuxidc.com/Linux/2012-07/66905.htm
Ubuntu 14.04 配置 LAMP+phpMyAdmin PHP(5.5.9)开发环境 https://www.linuxidc.com/Linux/2014-10/107924.htm
CentOS 7.3下phpMyAdmin安装部署  https://www.linuxidc.com/Linux/2017-08/146018.htm

phpMyAdmin 的详细介绍请点这里
phpMyAdmin 的下载地址请点这里

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-12/155823.htm

linux
相关资讯       PhpMyAdmin  phpMyAdmin 4.8.4 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款