MySQL临时文件“闯祸”

　　最新报道称，MySQL数据库中存在一个漏洞，心怀恶意的本地用户可以利用该漏洞提升权限，并且在存有漏洞的系统上进行多种操作。

　　调查发现，此漏洞的罪魁祸首是一个mysql_install_db脚本非安全创建的"mysql_install_db.$$"临时文件，攻击者籍此发动symlink攻击或通过操作文件内容执行任意SQL命令，进而运行存在漏洞脚本的用户的权限以达到改写任意文件的目的。

原文链接：MySQL临时文件“闯祸”

　　最新报道称，MySQL数据库中存在一个漏洞，心怀恶意的本地用户可以利用该漏洞提升权限，并且在存有漏洞的系统上进行多种操作。

　　调查发现，此漏洞的罪魁祸首是一个mysql_install_db脚本非安全创建的"mysql_install_db.$$"临时文件，攻击者籍此发动symlink攻击或通过操作文件内容执行任意SQL命令，进而运行存在漏洞脚本的用户的权限以达到改写任意文件的目的。

    受到这一漏洞影响的系统和软件分别为： MySQL 4.1.11及其之前的版本，Development Release 5.0.4及其之前的版本

　　目前，MySQL已经发布了该漏洞的补丁程序。

    受到影响的用户可以在如下链接下载得到 http://dev.mysql.com/downloads/mysql/4.1.html，或者把当前使用的MySQL数据库系统升级到4.1.12版本。

原文转自：http://www.ltesting.net