MySQL CREATE TABLE调用绕过访问限制漏洞
来源:岁月联盟
时间:2009-12-03
MySQL AB MySQL 6.0
MySQL AB MySQL 5.1.x
MySQL AB MySQL 5.0.x漏洞描述:
CVE ID: CVE-2008-7247
MySQL是一款使用非常广泛的开放源代码关系数据库系统,拥有各种平台的运行版本。
当数据主目录包含有到不同文件系统的符号链接时,MySQL的ql/sql_table.cc允许通过认证的远程安全者通过以特殊DATA DIRECTORY或INDEX DIRECTORY参数调用CREATE TABLE绕过预期的访问限制,执行各种非授权操作。<*参考
Ingo Strüwing (ingo@mysql.com)
http://bugs.mysql.com/bug.php?id=39277
*>
SEBUG安全建议:
厂商补丁:
MySQL AB
--------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://lists.mysql.com/commits/59711