SQL-Injection-Lücke in MySQL gestopft

Durch eine fehlerhafte Funktion ließen unter bestimmten Umständen eigene Befehle an die Datenbank übergeben.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Entwickler von MySQL haben neue Versionen ihrer Datenbank veröffentlicht, in denen neben diversen Fehlern auch eine Schwachstelle beseitigt ist, über die SQL-Injection möglich war. Die Lücke steckt in der Funktion mysql_real_escape_string(), die bestimmte Zeichen einer Multibyte-Zeichenkette nicht richtig ausfiltert. Eigentlich soll gerade diese Funktion SQL-Injection über fehlerhafte Skripten mittels das Einfügen von Escape-Zeichen verhindern. Unter bestimmten Umständen ist dies aber dennoch möglich. Anwender, die die eine neue Version nicht installieren können, sollten laut Fehlerbericht die Datenbank im SQL-Mode NO_BACKSLASH_ESCAPES SQL betreiben.

Siehe dazu auch: (dab)