24 Ноября 2024, 06:18

phpMyAdmin

Автор Zhek@Ch, 13 Мая 2011, 01:32

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Zhek@Ch

13 Мая 2011, 01:32 Последнее редактирование: 13 Мая 2011, 01:34 от Zhek@Ch
[size="3"]Релиз web-интерфейса администрирования СУБД MySQL phpMyAdmin 3.4.0 [/size]

Разработчики web-ориентированного интерфейса управления базами данных phpMyAdmin объявили о выпуске версии 3.4.0 своего продукта. Основные изменения:

  • Улучшение системы пользовательских настроек;
  • Экспорт реляционной схемы таблиц в различные форматы;
  • Редактор полей типа ENUM/SET;
  • Упрощенный интерфейс импорта/экспорта;
  • Перевод некоторых частей инструмента на использование технологии Ajax;
  • Поддержка вывода информации в виде графиков;
  • Визуальный построитель SQL-запросов;
  • Исправление более 160 ошибок.

Zhek@Ch

06 Июля 2011, 23:33 #1 Последнее редактирование: 06 Июля 2011, 23:33 от Zhek@Ch
[size="3"]Многочисленные критические уязвимости в phpMyAdmin[/size]
 
Обновления с пометкой "срочно" - разработчики phpMyAdmin, средства управления базами данных MySQL, выпускают новые версии для двух развиваемых веток - 3.3.10.2 and 3.4.3.1. Причем все предыдущие релизы проекта имеют критичные уязвимости, а именно:

  • Ошибка в функции Swekey_login(), описанной в файле libraries/auth/swekey/swekey.auth.lib.php. Используя уязвимость, можно перезаписать переменные сессии, а также выполнить собственный PHP-код;
  • Данные, передаваемые функции PMA_createTargetTables(), описанной в файле libraries/server_synchronize.lib.php, проверяются неполностью перед вызовом функции preg_replace() с модификатором "e". Используя данную уязвимость, можно выполнить собственный PHP-код, переданный в URL через NULL-байт;
  • Данные, передаваемые функции PMA_displayTableBody(), описанной в файле libraries/display_tbl.lib.php, проверяются неполностью перед их использованием для включения файлов. Таким образом, у злоумышленника появляется возможность включать в текст скрипта любые локальные файлы.
В дополнение к вышесказанному были отмечены уязвимости в установочных скриптах, позволяющие выполнять любой PHP-код при перезаписанных переменных сессии.

>>> Подробности