Projekt phpMyAdmin najavio je nekoliko novih izdanja:
- 4.9.8, koji popravlja neke sigurnosne nedostatke
- 5.1.2, koji popravlja neke sigurnosne nedostatke i sadrži mnoge ispravke bugova uključujući bolju kompatibilnost s PHP 8.0 i 8.1
- 5.2.0-rc1, verzija za testiranje koja uvodi mnoge nove značajke
Sigurnosni popravci (zahvaćene verzije kao što je navedeno)
Utvrđen je nedostatak u načinu na koji phpMyAdmin obrađuje dvofaktorsku provjeru autentičnosti; korisnik bi potencijalno mogao manipulirati svojim računom kako bi zaobišao dvofaktorsku provjeru autentičnosti u sljedećim sesijama provjere autentičnosti (PMASA-2022-1) (utječe i na 4.9 i 5.1).
Identificiran je niz slabosti koje dopuštaju zlonamjernom korisniku da pošalje zlonamjerne informacije kako bi predstavio napad ubrizgavanjem XSS ili HTML na stranici za grafičko postavljanje (PMASA-2022-2) (utječe samo na 5.1; ne na 4.9).
U nekim scenarijima, potencijalno osjetljive informacije kao što je naziv baze podataka mogu biti dio URL-a. Ovo se sada može opcionalno šifrirati. Postoje dvije nove konfiguracijske direktive koje se odnose na ovo poboljšanje: $cfg['URLQueryEncryption']
i $cfg['URLQueryEncryptionSecretKey']
. Ovo šifriranje se može omogućiti postavljanjem URLQueryEncryption na true u vašem config.inc.php
. Hvala Rich Grimesu https://twitter.com/saltycoder što je predložio ovo poboljšanje (utječe i na 4.9 i 5.1).
Tijekom neuspjelog pokušaja prijave, poruka o pogrešci otkriva naziv hosta ili IP adresu ciljnog poslužitelja baze podataka. To napadaču može otkriti neke informacije o mrežnoj infrastrukturi. Ove se informacije sada mogu potisnuti putem direktive $cfg['Servers'][$i]['hide_connection_errors']
. Hvala dr. Shuzhe Yangu, voditelju upravljanja sigurnošću u GLS IT Services na sugeriranju ovog poboljšanja (utječe i na 4.9 i 5.1).
Ispravci programskih pogrešaka (5.1.2 i 5.2.0-rc1)
- Vrati promijenjeno na
$cfg['CharTextareaRows']
dopušta vrijednosti manje od 7 - Popraviti kodiranje enuma i postaviti vrijednosti na uređivanje vrijednosti
- Ispravljena moguća pogreška “Nedefinirani indeks: clause_is_unique”
- Ispravljene neke situacije u kojima je korisnik odjavljen kada radi s više od jednog poslužitelja
- Riješen problem s dodjeljivanjem privilegija korisniku pomoću popisa višestrukog odabira kada naziv baze podataka ima donju crtu
- Omogućite parametar kolačića “SameSite” kada je PHP verzija 7.3 ili novija
- Ispravno rukovanje uklanjanjem “innodb_file_format” u MariaDB i MySQL
Nove značajke (5.2.0-rc1)
- Uklonjena podrška za Microsoft Internet Explorer
- Zahtijeva PHP 7.2 ili noviji
- Zahtijeva openssl PHP proširenje
- Poboljšano rukovanje paketom CA sustava i cacert.pem, vraćanje na Mozilla CA ako je potrebno
- Zamijenite pojmove “master/slave” s “primarni/replika”
- Dodajte operator “NOT LIKE %…%” u pretraživanje tablice
- Dodajte podršku za Mroonga engine
- Dodajte podršku za zaključavanje računa
- Nekoliko popravaka i poboljšanja knjižnice SQL parsera
Naravno, postoji mnogo više popravaka i novih značajki koje možete vidjeti u datoteci ChangeLog uključenoj u ovo izdanje ili na mreži na https://demo.phpmyadmin.net/master-config/index.php?route=/changelog
Preuzimanja su dostupna na https://phpmyadmin.net/downloads/