Linux Forum Казахстан

[size="3"]Релиз web-интерфейса администрирования СУБД MySQL phpMyAdmin 3.4.0 [/size]

Разработчики web-ориентированного интерфейса управления базами данных phpMyAdmin (http://www.phpmyadmin.net/) объявили (http://sourceforge.net/news/?group_id=23067&id=300277) о выпуске версии 3.4.0 своего продукта. Основные изменения:

• Улучшение системы пользовательских настроек;
• Экспорт реляционной схемы таблиц в различные форматы;
• Редактор полей типа ENUM/SET;
• Упрощенный интерфейс импорта/экспорта;
• Перевод некоторых частей инструмента на использование технологии Ajax;
• Поддержка вывода информации в виде графиков;
• Визуальный построитель SQL-запросов;
• Исправление более 160 ошибок.

[size="3"]Многочисленные критические уязвимости в phpMyAdmin[/size]
 
Обновления с пометкой "срочно" - разработчики phpMyAdmin, средства управления базами данных MySQL, выпускают новые версии для двух развиваемых веток - 3.3.10.2 and 3.4.3.1. Причем все предыдущие релизы проекта имеют критичные уязвимости, а именно:

• Ошибка в функции Swekey_login(), описанной в файле libraries/auth/swekey/swekey.auth.lib.php. Используя уязвимость, можно перезаписать переменные сессии, а также выполнить собственный PHP-код;
• Данные, передаваемые функции PMA_createTargetTables(), описанной в файле libraries/server_synchronize.lib.php, проверяются неполностью перед вызовом функции preg_replace() с модификатором "e". Используя данную уязвимость, можно выполнить собственный PHP-код, переданный в URL через NULL-байт;
• Данные, передаваемые функции PMA_displayTableBody(), описанной в файле libraries/display_tbl.lib.php, проверяются неполностью перед их использованием для включения файлов. Таким образом, у злоумышленника появляется возможность включать в текст скрипта любые локальные файлы.

В дополнение к вышесказанному были отмечены уязвимости в установочных скриптах, позволяющие выполнять любой PHP-код при перезаписанных переменных сессии.

>>> Подробности (https://secunia.com/advisories/45139)