MySQL用のJava JDBCドライバ、Connector/Jがバージョンアップしました。
Connector/J 5.1.8では以下のSQLインジェクション脆弱性が修正されています。私たち日本のユーザにとってクリティカルなバグですので、早めにバージョンアップされることをおすすめします。
- SQL injection was possible when using a string containing U+00A5 in a client-side prepared statement, and the character set being used was SJIS/Windows-31J. (Bug#41730)
関連記事です。
- 徳丸浩の日記 - JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性
- Connector/JのSQLインジェクション脆弱性 - SH2の日記
- Connector/JのSQLインジェクション脆弱性 つづき - SH2の日記
- MySQL :: MySQL 5.1 Reference Manual :: C.6.1.1 Changes in MySQL Connector/J 5.1.8 (16 July 2009)
- JVN#59748723: MySQL Connector/J における SQL インジェクションの脆弱性
徳丸さんがこの脆弱性を見つけたのが2008年12月ですので、修正に7ヶ月かかった計算です。もう少し早いといいのですが…。
