MySQL存在权限提升及安全限制绕过漏洞

2016-01-29 13:47 47 1 收藏

MySQL存在权限提升及安全限制绕过漏洞,MySQL存在权限提升及安全限制绕过漏洞

【 tulaoshi.com - PHP 】

受影响系统:

MySQL AB MySQL <= 5.1.10

描述:

MySQL是一款使用非常广泛的开放源代码关系数据库系统,拥有各种平台的运行版本。

在MySQL上,拥有访问权限但无创建权限的用户可以创建与所访问数据库仅有名称字母大小写区别的新数据库。成功利用这个漏洞要求运行MySQL的文件系统支持区分大小写的文件名。

此外,由于在错误的安全环境中计算了suid例程的参数,攻击者可以通过存储的例程以例程定义者的权限执行任意DML语句。成功攻击要求用户对所存储例程拥有EXECUTE权限。

厂商补丁:

MySQL AB

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://lists.mysql.com/commits/5927

http://lists.mysql.com/commits/9122

(t114)

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/php/)

来源:http://www.tulaoshi.com/n/20160129/1491500.html

延伸阅读
标签: MySQL mysql数据库
  受影响系统: MySQL AB MySQL 4.1.0-alpha MySQL AB MySQL 4.1.0 MySQL AB MySQL 4.0.9 MySQL AB MySQL 4.0.8 MySQL AB MySQL 4.0.7 MySQL AB MySQL 4.0.6 MySQL AB MySQL 4.0.5a MySQL AB MySQL 4.0.5 MySQL AB MySQL 4.0.4 MySQL AB MySQL 4.0.3 MySQL AB MySQL 4.0.2 MySQL AB MySQL 4.0.15 MySQL AB MySQL 4.0.14 MySQL AB My...
标签: PHP
MySQL是一个真正的多用户、多线程SQL数据库服务器。MySQL是以一个客户机/服务器结构的实现,它由一个服务器守护程序mysqld和很多不同的客户程序和库组成。由于其源码的开放性及稳定性,且与网站流行编?语言PHP的完美结合,现在很多站点都利用其当作后端数据库,使其获得了广泛应用。处于安全方面的考虑,需要为每一用户赋于对不...
1. MySQL 用户名和口令 * MySQL使用于认证目的的用户名,与Unix用户名(登录名字)或Windows用户名无关。缺省地,大多数MySQL客户尝试使用当前Unix用户名作为MySQL用户名登录,但是这仅仅为了方便,客户程序允许用-u或--user选项指定一个不同的名字。及与安全的考虑,所有的MySQL用户名都应该有口令。 * MySQL用户名最长可以是16各...
问题 在最近一次访问西部地区的旅途中,我们通过广播得知,在温哥华岛的海岸边发生了一系列的地震。尽管负责监测这些活动的科学家都充分认识到这一情况,但当时我们正好直接航行到地震发生的地方,却从来没有发现什么东西。你可能会觉得奇怪,这与SQL Server有什么关系。嗯,除非你监测这个功能的发布,要不然你可能不知道SQL Server...
标签: 电脑入门
有用户后反应文件夹都可以隐藏,系统盘能不能限制,让别人不能访问呢?答案是可以的,只要你根据以下教程操作,就能限制驱动盘的访问权限了。 1、 按下Win+R键,输入gpedit.msc,启动组策略编辑器; 2、 在组策略编辑器中依次进入"用户配置→管理模板→Windows组件→Windows资源管理器"; 3、 在右边找到防止从'我的...

经验教程

27

收藏

78
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部