MySQL问题跟踪系统发现安全漏洞

在MySQL Eventum 1.5.5版及其先前的版本中，已发现一些安全漏洞，它们可以被恶意用户利用来进行跨站点脚本攻击（cross-site scripting）及SQL注入式攻击。

Eventum是一个问题跟踪系统（issue-tracking system），它可以被技术支持部门用来跟踪用户技术支持请求，也可以被软件开发团队利用来进行任务和bug管理。根据MySQL AB网站所称，MySQL AB技术支持部门即使用此系统，极大提高了对用户技术支持请求的响应效率。

根据安全监测公司Secunia本周一发布的报告称，其中的一个漏洞涉及到输入内容传递给某些参数的方法，这些参数包括：“view.php”的“id”参数，“list.php”的“release”参数，以及“get_jsrs_data.php”的“F”参数。

Secunia的报告称，输入内容在被返回给用户之前，缺乏适当的安全检查。在受此影响的站点环境下，该漏洞可以被利用，进而可以在用户浏览器会话中执行任意HTML和脚本代码。

Secunia的报告还指出，某些传递给release，report和authentication类的输入内容，在被SQL查询使用前，也未能进行适当的安全检查。由于此漏洞的存在，用户可以通过注入任意SQL代码，实现对查询的操控。

Secunia将发现的漏洞评估为“中等危急”（moderately critical），但GulfTech安全研究部门的James Bercegay（漏洞的最初发现者）研究员称，这些漏洞可被利用性极高，必须马上发布相应的安全补丁。

这些被发现的漏洞存在于1.5.5及先前的版本。Eventum 1.6.0版已于上周六发布，用户应升级到该版本。