Множественные уязвимости в MySQL

Дата публикации:
23.11.2009
Дата изменения:
18.02.2010
Всего просмотров:
2314
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-4019
CVE-2009-4028
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MySQL 5.x
Уязвимые версии: MySQL версии до 5.0.88 и 5.1.41

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести спуфинг атаку и вызвать отказ в обслуживании.

1. Уязвимость существует из-за ошибки в функции vio_verify_callback() в MySQL клиентах, собранных с поддержкой OpenSSL. Удаленный пользователь может произвести атаку «человек посередине» с помощью MySQL сервера, использующего сертификат с нулевой глубиной.

2. Уязвимость существует из-за отсутствия механизмов обработки ошибок для "SELECT" запросов, содержащих подзапросы в условии "WHERE". Удаленный пользователь может с помощью специально сформированного запроса аварийно завершить работу сервера.

3. Уязвимость существует из-за того, что функция GeomFromWKB() не сохраняет флаг нулевого значения для аргумента при обработке геометрических значений в качестве первого аргумента. Удаленный пользователь может аварийно завершить работу приложения.

URL производителя: www.mysql.com

Решение: Установите последнюю версию 5.0.88 или 5.1.41 с сайта производителя.

Ссылки: http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-41.html

или введите имя

CAPTCHA