LINUX.ORG.RU
НовостиБезопасность

Критическая уязвимость в MySQL


0

0

Все MySQL версии 4.1.x и 5.0.x имеют уязвимость в обработке многобайтового кода, введённого через php посредством функции mysql_real_escape_string(), что позволяет нападающему выполнить произвольный код с правами пользователя из под которого запущен сервер СУБД.

Компания MySQL советует незамедлительно обновиться до версий 4.1.20 u 5.0.22.

>>> Подробности

★★★★★

Проверено: Pi ()

Re: Критическая уязвимость в MySQL

так и знал что рано

GH ()

Re: Критическая уязвимость в MySQL

Follow the blue elephant, Mysql...
О да, кодировками SJIS, BIG5 и GBK пользуюсь каждый день! ,-)

anonymous ()

Re: Критическая уязвимость в MySQL

пипец. Просто слов нет. А тем, кто по жизни искейпил по своему, не через mysql_real_escape_string(), что делать?

anonymous ()

Re: Критическая уязвимость в MySQL

> с правами пользователя из под которого запущен сервер СУБД.

mysql, из чё он сделает от этого пользователя?

SteepZ ()
Ответ на: Re: Критическая уязвимость в MySQL от mrdeath

Re: Критическая уязвимость в MySQL

мляяяя обновлятся нада будет да! да или повесить тебе на сервер прокси или носки, открыть фтп , да что угодно!

djung ★★ ()

Re: Критическая уязвимость в MySQL

Ничего не понял. По моему выполнение произвольного кода и SQL-инъекции это две большие разницы

FatBastard ★★ ()

Re: Критическая уязвимость в MySQL

Не совсем понял, а версия 4.0.20 тоже уязвима ?

roy ★★★★★ ()
Ответ на: Re: Критическая уязвимость в MySQL от anonymous

Re: Критическая уязвимость в MySQL

Ничего. Ошибка заключается в неправильной обработки строки в функции mysqk_real_escape_string(), а те, кто ее не используют - не подвержены уязвимости.

kmeaw ★★★ ()

Re: Критическая уязвимость в MySQL

мляяя.. а 5.1.10 не релизнулась чтоли? на одном серваке 4.1.х до 4.1.20 проапгрейдил, а пятерку придется уязвимой оставить :( оцтой какой

anonymous ()
Ответ на: Re: Критическая уязвимость в MySQL от kmeaw

Re: Критическая уязвимость в MySQL

> Ничего. Ошибка заключается в неправильной обработки строки в функции mysqk_real_escape_string(), а те, кто ее не используют - не подвержены уязвимости.

Похоже, никто не читал оригинального анонса. Ошибка не в mysql_real_escape_string(), а в сервере, который неправильно обрабатывает строки, правильно закодированные при помощи mysql_real_escape_string(). Зачем PHP и выполнение произвольного кода в новости приплели, вообще непонятно.

Sorcerer ★★★★★ ()
Ответ на: Re: Критическая уязвимость в MySQL от kmeaw

Re: Критическая уязвимость в MySQL

> в неправильной обработки строки в функции mysqk_real_escape_string(), а те, кто ее не используют - не подвержены уязвимости.

Читай исчо. Те, кто её не используют, подвержены ещё большей уязвимости,
причём 100%-ной. И php тут никаким боком. Ту же самую проблему можно
поиметь и из жабы, и из любого другого языка.

annonymous ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Безопасность