影響を受けるシステム:
MySQL AB MySQL
説明:
MySQL は、さまざまなプラットフォーム用のバージョンが実行されている、非常に広く使用されているオープン ソース リレーショナル データベース システムです。
MySQL では、アクセス権はあるが作成権を持たないユーザーは、アクセスしたデータベースと大文字と小文字のみが異なる名前で新しいデータベースを作成できます。この脆弱性の悪用に成功するには、MySQL を実行しているファイル システムが大文字と小文字を区別するファイル名をサポートしている必要があります。
さらに、suid ルーチンのパラメーターが間違ったセキュリティ コンテキストで評価されるため、攻撃者はルーチン定義者の権限を持つストアド ルーチンを介して任意の DML ステートメントを実行する可能性があります。攻撃が成功するには、ユーザーがストアド ルーチンに対する EXECUTE 権限を持っている必要があります。
メーカーのパッチ:
MySQL AB
現在、メーカーはこのセキュリティ問題を修正するアップグレード パッチをリリースしています。メーカーのホームページにアクセスしてダウンロードしてください:
http://lists.mysql.com/commits/ 5927
http://lists.mysql.com/commits/9122
(t114)