受影响系统:
MySQL AB MySQL 6.0
MySQL AB MySQL 5.1.x
MySQL AB MySQL 5.0.x
不受影响系统:
MySQL AB MySQL 6.0.9-alpha
MySQL AB MySQL 5.1.41
MySQL AB MySQL 5.0.88
描述:
MySQL是一款使用非常广泛的开放源代码关系数据库系统,拥有各种平台的运行版本。
当数据主目录包含有到不同文件系统的符号链接时,MySQL的ql/sql_table.cc允许通过认证的远程攻击者通过以特殊DATA DIRECTORY或INDEX DIRECTORY参数调用CREATE TABLE绕过预期的访问限制,执行各种非授权操作。
<*来源:Ingo Strüwing (ingo@mysql.com)
链接:http://bugs.mysql.com/bug.php?id=39277
*>
测试方法:
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://bugs.mysql.com/file.php?id=10707
建议:
厂商补丁:
MySQL AB
——–
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
0 条评论。