技术开发 频道

MySQL发补丁修正一SQL注入漏洞

    【IT168 技术新闻】近日,MySQL针对MySQL 4.1和5.0发布了一个更新补丁,该补丁主要用于解决之前发现的一个SQL注入漏洞。MySQL的升级方法借鉴了上周PostgreSQL对相同问题的处理方法。

    该漏洞最早是被PostgreSQL组织发现,并通过开源数据库联盟告知MySQL。漏洞存在于“mysql_real_escape_string()”函数中。一旦一些从web窗口录入的有害数据存入到MySQL数据库中后,恶意用户就可以发送异常的多字节数值,在MySQL处理这些多字节数值的时候,就会露出漏洞,从而导致恶意用户执行任意代码。

    该漏洞影响MySQL 4.1和5.0系列,建议用户立即升级到4.1.20或5.0.22。

    对于那些不能或不愿意升级到MySQL 4.1.20或5.0.22的用户,也可以设置MySQL使用SQL标准兼容模式,从而避免该漏洞被利用,具体方法如下。

    如果MySQL Server正在运行的话,你可以通过SET sql_mode='NO_BACKSLASH_ESCAPES'指令来设置;也可以在启动MySQL服务器的时候,使用--sql-mode=NO_BACKSLASH_ESCAPES选项,或者在你的MySQL配置文件中加入以下一行设置:sql-mode=NO_BACKSLASH_ESCAPES。

    在Linux系统中,配置文件通常是my.cnf,在/etc/mysql或/etc目录下,具体根据不同的Linux系统有关。

    目前已经可以从MySQL官方网站下载更新包。

0
相关文章