Phiên bản MySQL 5.1.47 sắp ra mắt của Oracle với vài bản vá lỗi cập nhật bảo mật quan trọng. Bản cập nhật lần này bao gồm 3 bản vá lỗi được xếp vào loại nghiêm trọng, thông qua những lỗi này, hacker có thể làm cho hệ thống server tê liệt, truy cập trái phép vào cơ sở dữ liệu, hoặc đối với trường hợp xấu nhất, lây nhiễm và thực thi các đoạn mã độc trên hệ thống máy chủ. Hiện tại, các nhà phát triển ko đề cập chính xác phiên bản ứng dụng nào bị ảnh hưởng. Theo thông tin từ hãng, lỗ hổng đầu tiên gây ra bởi lệnh COM_FIELD_LIST trong thuộc tính tên bảng dữ liệu không được kiểm tra đầy đủ, với phiên bản MySQL 5.1 trở lên sẽ cho phép kẻ tấn công thực thi các câu lệnh DELETE hoặc SELECT đối với bất cứ bảng nào để đoạt quyền điều khiển, từ đó tương tác với các bảng dữ liệu khác trong hệ thống. Lỗi thứ 2, do tên bảng đặt quá dài có thể gây ra hiện tượng tràn bộ nhớ đệm – “could be exploited by an authenticated user to inject malicious code”. Thứ 3, do việc gửi các gói dữ liệu – packet vượt qúa kích thước tối đa của gói tin quy định từ phía máy chủ sẽ gây ra hiện tượng tê liệt, ngưng hoạt động tạm thời của hệ thống server. (Theo Quantrimang) |