Bug 19843

Summary: Cross-site scripting (XSS) vulnerability in the command-line client
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: MySQL-clientAssignee: Anton Farygin <rider>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: ldv, mike, nickel, rider, shaba
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4456

Description Vladimir Lettiev 2009-04-30 09:25:03 MSD 
При использовании опции --html, существует возможность вставки произвольного веб-скрипта и/или HTML-кода из ячейки таблицы, которую будет обрабатывать клиент, в генерируемый html-документ.

Пример:
mysql --html --execute "select '<a>'"
<TABLE BORDER=1><TR><TH><a></TH></TR><TR><TD><a></TD></TR></TABLE>

как видно символы <,> не эскейпятся.

Патч доступен в багзиле mysql: http://bugs.mysql.com/bug.php?id=27884
Comment 1 Dmitry V. Levin 2009-06-29 00:52:17 MSD 
Почему-то не смержен в 5.0.x
Comment 2 Konstantin A Lepikhov (L.A. Kostis) 2009-06-29 00:58:43 MSD 
(В ответ на комментарий №1)
> Почему-то не смержен в 5.0.x

Патч видел у debian. Добавлю.
Comment 3 Repository Robot 2009-06-29 16:12:03 MSD 
MySQL-5.0.83-alt2 -> sisyphus:

* Mon Jun 29 2009 L.A. Kostis <lakostis@altlinux> 5.0.83-alt2

- Security fixes:
  + CVE-2008-4456: potential XSS in HTML output (closes #19843).
- Remove obsoleted macros.