• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

MySQL问题跟踪系统发现安全漏洞

发布: 2008-5-27 15:59 | 作者: webmaster | 来源: 本站原创 | 查看: 91次 | 进入软件测试论坛讨论

领测软件测试网  

MySQL Eventum 1.5.5版及其先前的版本中,已发现一些安全漏洞,它们可以被恶意用户利用来进行跨站点脚本攻击(cross-site scripting)及SQL注入式攻击。

Eventum是一个问题跟踪系统(issue-tracking system),它可以被技术支持部门用来跟踪用户技术支持请求,也可以被软件开发团队利用来进行任务和bug管理。根据MySQL AB网站所称,MySQL AB技术支持部门即使用此系统,极大提高了对用户技术支持请求的响应效率。

根据安全监测公司Secunia本周一发布的报告称,其中的一个漏洞涉及到输入内容传递给某些参数的方法,这些参数包括:“view.php”的“id”参数,“list.php”的“release”参数,以及“get_jsrs_data.php”的“F”参数。

Secunia的报告称,输入内容在被返回给用户之前,缺乏适当的安全检查。在受此影响的站点环境下,该漏洞可以被利用,进而可以在用户浏览器会话中执行任意HTML和脚本代码。

Secunia的报告还指出,某些传递给release,report和authentication类的输入内容,在被SQL查询使用前,也未能进行适当的安全检查。由于此漏洞的存在,用户可以通过注入任意SQL代码,实现对查询的操控。

Secunia将发现的漏洞评估为“中等危急”(moderately critical),但GulfTech安全研究部门的James Bercegay(漏洞的最初发现者)研究员称,这些漏洞可被利用性极高,必须马上发布相应的安全补丁。

这些被发现的漏洞存在于1.5.5及先前的版本。Eventum 1.6.0版已于上周六发布,用户应升级到该版本。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: Mysql MySQL mysql mySQL 漏洞 跟踪系统


关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网