Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Inyección SQL remota en MySQL 4 y 5

Inyección SQL remota en MySQL 4 y 5

Por Deja un comentario

Se ha encontrado una vulnerabilidad en MySQL que puede ser
aprovechada por atacantes para eludir restricciones de seguridad
y ejecutar comandos SQL arbitrarios.

El fallo se debe a un error en el manejo de caracteres multi-byte
e interpretar ciertos caracteres ASCII escapados con la función
mysql_real_escape_string. Esto podría ser aprovechado por atacantes
para eludir métodos estándar de escape de cadenas y ejecutar ataques
SQL contra un script supuestamente seguro.

Se recomienda actualizar a MySQL versión 4.1.20, 5.0.22, o 5.1.11
desde http://dev.mysql.com/downloads/

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

MySQL Multi-byte Encoding Processing Remote SQL Injection Vulnerability
http://www.frsirt.com/english/advisories/2006/2105

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.