Расширенный

обход ограничений безопасности

обход ограничений безопасности

24 октября 2014
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
MySQL Server (3.0.0, 3.23.58, 4.0.0, 4.0.27, 4.1.0, 4.1.20, 5.0.0, 5.0.23, 5.1.0, 5.1.10)
mysql-server-5.0 (6.06 LTS - mysql-server-5.0 5.0.22-0ubuntu6.06.2)
Описание
Уязвимость существует из-за ошибки в алгоритме проверки привилегий пользователя при работе с "MERGE" таблицами. Злоумышленник может воспользоваться данной уязвимостью чтобы получить доступ к недоступным ему таблицам баз данных.


<b>Использование уязвимости</b>

Если пользователь имеет доступ к какой-нибудь таблице, например, к table1 и создает для нее "MERGE" таблицу (merge1), то он всегда будет иметь доступ к таблице table1 посредством merge1 (даже если привилегии на доступ к table1 были изменены).

Использование уязвимости удаленно: да
Использование уязвимости локально: да
Как исправить
Для устранения уязвимости необходимо установить последнюю версию СУБД MySQL, соответствующую используемой платформе. Необходимую информацию можно получить по адресу: http://www.mysql.com/downloads/index.html
http://lists.mysql.com/commits/9170
http://lists.mysql.com/commits/9363
http://lists.mysql.com/commits/9364
http://lists.mysql.com/commits/9395
Ссылки