Множественные уязвимости в MariaDB

Дата публикации:
25.02.2014
Дата изменения:
25.02.2014
Всего просмотров:
870
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
6
CVSSv2 рейтинг:
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:2.9/Temporal:2.1
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MariaDB 5.x
Уязвимые версии: MariaDB 5.5.х, возможно более ранние версии

Описание:
Уязвимости позволяют удаленному пользователю вызвать отказ в обслуживании приложения.

1. Уязвимость существует из-за ошибки разыменования нулевого указателя при обработке подготовления подзапросов SELECT. Удаленный пользователь может аварийно завершить работу приложения.
Для успешной эксплуатации уязвимости требуется чтобы оптимизаторы "materialization" и "semijoin" были переключены на активны.

2. Уязвимость существует из-за ошибки при обработке KILL QUERY заявлений в определенных параллельных запросов SQL. Удаленный пользователь может аварийно завершить работу приложения.

3. Уязвимость существует из-за ошибки при обработке NAME_CONST выражений, содержащее AND/OR экспрессии. Удаленный пользователь может аварийно завершить работу приложения.

4. Уязвимость существует из-за ошибки при обработке SELECT с недопустимым значением GROUP BY. Удаленный пользователь может подтвердить запуск ошибки.

5. Уязвимость существует из-за ошибки при обработке определенных SELECT заявлений с фразами JOIN. Удаленный пользователь может аварийно завершить работу приложения.
Для успешной эксплуатации уязвимости требуется чтобы настройки "sql_mode" были установлены в "ONLY_FULL_GROUP_BY".

6. Уязвимость существует из-за ошибки при обработке определенных параллельных ведомостей UPDATE. Удаленный пользователь может аварийно завершить работу приложения.

URL производителя: https://mariadb.org

Решение: Установите последнюю версию 5.5.36 с сайта производителя.

Ссылки: https://mariadb.com/kb/en/mariadb-5536-release-notes/
https://mariadb.com/kb/en/mariadb-5536-changelog/
https://mariadb.atlassian.net/browse/MDEV-5581
https://mariadb.atlassian.net/browse/MDEV-714
https://mariadb.atlassian.net/browse/MDEV-5655
https://mariadb.atlassian.net/browse/MDEV-5505
https://mariadb.atlassian.net/browse/MDEV-5617
https://mariadb.atlassian.net/browse/MDEV-5629

или введите имя

CAPTCHA