|
中华网络安全联盟 作者:佚名 来源:网络转载 时间:2006-3-23
|
信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
|
漏洞类别: |
异常处理错误 |
|
攻击类型: |
本地攻击 |
|
发布日期: |
2006-02-27 |
|
更新日期: |
2006-02-27 |
|
受影响系统: |
MySQL 3.x
MySQL 4.x
MySQL 5.x |
|
安全系统: |
无 |
|
漏洞报告人: |
1dt.w0lf |
|
漏洞描述: |
Secunia Advisory: SA19034
MySQL中被发现一个可以用来绕过安全认证的漏洞。
这个漏洞是由于在操作查询纪录时发生错误引起。此漏洞可被用来在搜索请求包含空字符时引起部分查询被错误地认证。
例如:
mysql_query("/*".chr(0)."*/ SELECT * FROM table");
这个漏洞已经在5.0.18版本中被确认。其他版本也可能受到影响。 |
|
测试方法: |
无 |
|
解决方法: |
只允许可信任授权用户连接数据库。 |
(
|
