SECURITY INVOKER預存程序許可權提升漏洞

來源:互聯網
上載者:User

MySQL AB SECURITY INVOKER預存程序許可權提升漏洞。

受影響系統:

MySQL AB MySQL 5.1.x < 5.1.18。

MySQL AB MySQL 5.0.x < 5.0.40。

不受影響系統:

MySQL AB MySQL 5.1.18。

MySQL AB MySQL 5.0.40。

描述:

MySQL是一款使用非常廣泛的開放原始碼關聯式資料庫系統,擁有各種平台的運行版本。

MySQL在處理SQL SECURITY INVOKER預存程序的返回狀態時存在漏洞,本地攻擊者可能利用此漏洞提升在資料庫系統中的許可權。

在從SQL SECURITY INVOKER預存程序返回時MySQL中的mysql_change_db函數沒有恢複THD::db_access許可權,這可能允許遠程已認證使用者獲得許可權提升。僅在用SQL SECURITY INVOKER定義了常式的情況下才會出現這個漏洞,如果使用SQL SECURITY DEFINER定義的話就可以在definer和invoker之間正確地切換安全環境。

廠商補丁:

MySQL AB

目前廠商已經發布了升級補丁以修複這個安全問題,請到廠商的首頁下載:

http://dev.mysql.com/get/Downloads/MySQL-5.0/mysql-5.0.41.tar.gz/from/pick

http://dev.mysql.com/get/Downloads/MySQL-5.1/mysql-5.1.18-beta.tar.gz/from/pick



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。