受影響系統
MySQL AB MySQL <= 5.1.10
描述
MySQL是一款使用非常廣泛的開放原始碼關係資料庫系統,擁有各種平台的運行版本。
在MySQL上,擁有訪問許可權但無創建許可權的用戶可以創建與所訪問資料庫僅有名稱字母大小寫區別的新資料庫。成功利用這個漏洞要求運行MySQL的檔案系統支持區分大小寫的檔案名稱。
此外,由於在錯誤的安全環境中計算了suid例程的參數,攻擊者可以通過存儲的例程以例程定義者的許可權執行任意DML語句。成功攻擊要求用戶對所存儲例程擁有EXECUTE許可權。
廠商補丁
MySQL AB
目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載:
http://lists.mysql.com/commits/5927
http://lists.mysql.com/commits/9122