Security Lab

Множественные уязвимости в Oracle MySQL

Дата публикации:16.10.2013
Всего просмотров:2011
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:9
CVSSv2 рейтинг: 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C)
5.8 (AV:N/AC:M/Au:N/C:P/I:N/A:P/E:U/RL:OF/RC:C)
6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:F/RL:OF/RC:C)
4 (AV:N/AC:L/Au:S/C:N/I:N/A:P/E:U/RL:OF/RC:C)
4 (AV:N/AC:L/Au:S/C:N/I:N/A:P/E:U/RL:OF/RC:C)
4 (AV:N/AC:L/Au:S/C:N/I:N/A:P/E:U/RL:OF/RC:C)
4 (AV:N/AC:L/Au:S/C:N/I:N/A:P/E:U/RL:OF/RC:C)
4 (AV:N/AC:L/Au:S/C:N/I:N/A:P/E:U/RL:OF/RC:C)
6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P/E:U/RL:OF/RC:C)
CVE ID: CVE-2013-2134
CVE-2013-2135
CVE-2013-2248
CVE-2013-2251
CVE-2013-3839
CVE-2013-5767
CVE-2013-5770
CVE-2013-5786
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Неавторизованное изменение данных
Обход ограничений безопасности
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MySQL 5.x
Уязвимые версии: Oracle MySQL версии 5.5.32 и 5.6.12, и более ранние версии.

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, осуществить спуфинг атаку, изменить некоторые данные, получить доступ к важным данным и вызвать отказ в обслуживании.

1. Некоторые уязвимости существуют из-за того, что уязвимая версия Apache Struts входит в состав компонента MySQL Enterprise Monitor 2.3.13 и более ранних версий. Подробное описание уязвимостей:
http://www.securitylab.ru/vulnerability/441025.php
http://www.securitylab.ru/vulnerability/443450.php

2. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Optimizer в MySQL Server. Удаленный аутентифицированный пользователь может вызвать зависание приложения или часто повторяющееся аварийное завершение работы. Уязвимость распространяется на 5.1.70, 5.5.32, 5.6.12 и более ранние версии.

3. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Optimizer в MySQL Server. Удаленный аутентифицированный пользователь может вызвать зависание приложения или часто повторяющееся аварийное завершение работы. Уязвимость распространяется на версию 5.6.12 и более ранние.

4. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Locking в MySQL Server. Удаленный аутентифицированный пользователь может вызвать зависание приложения или часто повторяющееся аварийное завершение работы. Уязвимость распространяется на версию 5.6.11 и более ранние версии.

5. Уязвимость существует из-за неизвестной ошибки в субкомпоненте InnoDB в MySQL Server. Удаленный аутентифицированный пользователь может вызвать зависание приложения или часто повторяющееся аварийное завершение работы. Уязвимость распространяется на версию 5.6.12 и более ранние.

6. Уязвимость существует из-за неизвестной ошибки в субкомпоненте InnoDB в MySQL Server. Удаленный аутентифицированный пользователь может вызвать зависание приложения или часто повторяющееся аварийное завершение работы. Уязвимость распространяется на версию 5.6.12 и более ранние.

7. Уязвимость существует из-за неизвестной ошибки в субкомпоненте Replication в MySQL Server. Удаленный аутентифицированный пользователь может прочитать, обновить, добавить или удалить данные, доступные для MySQL Server.

URL производителя: http://www.mysql.com

Решение: Установите исправление с сайта производителя.

Ссылки: http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixMSQL
http://www.oracle.com/technetwork/topics/security/cpuoct2013verbose-1899842.html#MSQL