[sisyphus] DoS-уязвимость в MySQL
Eugine Kosenko
=?iso-8859-1?q?eugine=2Ekosenko_=CE=C1_gmail=2Ecom?=
Пн Май 28 21:34:46 MSD 2007
Буквально на днях узнал об уязвимости:
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-2583
На ЛОР эту проблему описали так:
СУБД (версии уточняются) MySQL 5.x уязвима к следующей DoS атаке:
"SELECT id from example WHERE id IN (1, (SELECT IF(1=0,1,2/0)));",
которая приводит к падению сервера. Хостерам рекомендуется обновиться
незамедлительно.
Я проверил на текущем Сизифе (MySQL 5.0.34) уязвимость есть: после
выполнения указанного запроса сервер уходит в даун и требует
повторного запуска. Более того, сервер падает даже после более
простого запроса
SELECT id from example WHERE id IN (1, 2/0);
Когда можно ожидать исправления этой уязвимости?
Подробная информация о списке рассылки Sisyphus