Обнаружена и устранена потенциальная уязвимость в компоненте phpMyAdmin - "Дизайнер" (обеспечивает визуализацию связей таблиц БД). Авторизовавшийся пользователь мог стать объектом XSS атаки через скрипт pmd_pdf.php. Обновляемся.
Требования для 3.0.x:
- PHP 5.2+ (список необходимых библиотек расширения);
- MySQL 5.0+;
Улучшения для 3.0.1:
+ [lang/язык] Обновление Русского языка
+ [lang/язык] Обновление Каталонского языка
+ [lang/язык] Обновление Румынского языка
+ [lang/язык] Обновление Венгерского языка
+ [lang/язык] Обновление Хорватского языка
+ [lang/язык] Обновление Финского языка
+ [lang/язык] Обновление Польского языка
+ [lang/язык] Обновление Японского языка
Исправления для 3.0.1:
- bug #2187193 [interface/интерфейс] конфигурационная переменная ShowChgPassword имеет некорректное соотношение значений
- bug #2134126 [GUI] SQL ошибка после сортировки по полю
- bug #2136986 [auth/авторизация] Невозможность создать базу данных после окончания сессии
- bug #1914066 [core/ядро] ForceSSL генерирует перенаправления с некорректно кодированными символами (на этот раз более точное исправление)
- bug #2153970 [core/ядро] Правильное обрезание SQL для предотвращения половинчатых HTML тегов
- bug #2161443 [structure/структура] Отображение некорректного типа индекса при его изменении
- bug #2127094 [interface/интерфейс] Ошибочное сообщение после отмены действия
- bug #2163437 [core/ядро] Невозможно отключить таблицы расширений PMA
- patch #2143882 [import/импорт] Временно загруженный файл не удалялся
- patch #2176438 [privileges/привилегии] Неверное сообщение при смене пароля
- (3.0.1.1) [security] Исправление XSS уязвимости в компоненте "Дизайнер"
Требования для 2.11.x:
- PHP 4.2+
- MySQL 3.23.32+
Исправления для phpMyAdmin 2.11.9.x:
- bug #2031221 [auth/авторизация] Отображение номера версии на странице авторизации.
- bug #2032707 [core/ядро] PMA не запускается при отключенной функции ini_set().
- bug #2004915 [bookmarks/закладки] Сохраненный запрос из более чем 1000 символов, не отображается.
- bug #2037381 [export/экспорт] Не работает тип экспорта заменой (REPLACE).
- bug #2037375 [export/экспорт] Удаление процедуры DROP PROCEDURE должно предваряться условием IF EXISTS.
- bug #2045512 [export/экспорт] Числа при экспорте в формате Excel.
- bug #2074250 [parser/парсер] Неопределённая переменная seen_from
- (2.11.9.1) [security/безопасность] Уязвимость связанная с выполнением кода, при конфигурировании PHP с разрешением выполнения команд вроде exec.
- (2.11.9.2) [security/безопасность] Межскриптовая уязвимость, при работе под IE.
- (3.0.1.1) [security] Исправление XSS уязвимости в компоненте "Дизайнер"
Ссылки по теме:
Скачать phpMyAdmin 3.0.1.1 или 2.11.9.3