MySQL問題跟蹤系統發現安全漏洞

在MySQL Eventum 1.5.5版及其先前的版本中，已發現一些安全漏洞，它們可以被惡意用戶利用來進行跨站點腳本攻擊（cross-site scripting）及SQL注入式攻擊。

Eventum是一個問題跟蹤系統（issue-tracking system），它可以被技術支持部門用來跟蹤用戶技術支持請求，也可以被軟件開發團隊利用來進行任務和bug管理。根據MySQL AB網站所稱，MySQL AB技術支持部門即使用此系統，極大提高了對用戶技術支持請求的響應效率。

根據安全監測公司Secunia本周一發布的報告稱，其中的一個漏洞涉及到輸入內容傳遞給某些參數的方法，這些參數包括：“view.php”的“id”參數，“list.php”的“release”參數，以及“get_jsrs_data.php”的“F”參數。

Secunia的報告稱，輸入內容在被返回給用戶之前，缺乏適當的安全檢查。在受此影響的站點環境下，該漏洞可以被利用，進而可以在用戶瀏覽器會話中執行任意HTML和腳本代碼。

Secunia的報告還指出，某些傳遞給release，report和authentication類的輸入內容，在被SQL查詢使用前，也未能進行適當的安全檢查。由于此漏洞的存在，用戶可以通過注入任意SQL代碼，實現對查詢的操控。

Secunia將發現的漏洞評估為“中等危急”（moderately critical），但GulfTech安全研究部門的James Bercegay（漏洞的最初發現者）研究員稱，這些漏洞可被利用性極高，必須馬上發布相應的安全補丁。

這些被發現的漏洞存在于1.5.5及先前的版本。Eventum 1.6.0版已于上周六發布，用戶應升級到該版本。