Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
MySQL Server
(3.0.0, 3.23.58, 4.0.0, 4.0.18)
Описание
MySQL содержит уязвимость, которая может позволить злоумышленнику произвольно заменять файлы. Проблема состоит в том, что сценарий "mysqld_multi" создает файлы с ненадежными ограничениями доступа. Возможно, что уязвимость позволит злоумышленнику создать символьную ссылку на этот файл и заменять произвольные файлы в системе.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://dev.mysql.com/downloads/
http://dev.mysql.com/downloads/
Ссылки
Debian (DSA-483): http://www.debian.org/security/2004/dsa-483
Bugtraq (20040414 [OpenPKG-SA-2004.014] OpenPKG Security Advisory (mysql)): http://marc.theaimsgroup.com/?l=bugtraq&m=108206802810402&w=2
Gentoo (Insecure Temporary File Creation In MySQL): http://security.gentoo.org/glsa/glsa-200405-20.xml
MANDRAKE (MDKSA-2004:034): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:034
REDHAT (RHSA-2004:569): http://www.redhat.com/support/errata/RHSA-2004-569.html
REDHAT (RHSA-2004:597): http://www.redhat.com/support/errata/RHSA-2004-597.html
BUGTRAQ (20040414 [OpenPKG-SA-2004.014] OpenPKG Security Advisory (mysql)): http://marc.theaimsgroup.com/?l=bugtraq&m=108206802810402&w=2
http://dev.mysql.com/doc/mysql/en/news-4-1-2.html
CIAC (P-018): http://www.ciac.org/ciac/bulletins/p-018.shtml
BID (10142): http://www.securityfocus.com/bid/10142
OSVDB (6421): http://www.osvdb.org/6421
SECTRACK (1009784): http://securitytracker.com/id?1009784
XF (mysql-mysqldmulti-symlink(15883)): http://xforce.iss.net/xforce/xfdb/15883
Bugtraq (20040414 [OpenPKG-SA-2004.014] OpenPKG Security Advisory (mysql)): http://marc.theaimsgroup.com/?l=bugtraq&m=108206802810402&w=2
Gentoo (Insecure Temporary File Creation In MySQL): http://security.gentoo.org/glsa/glsa-200405-20.xml
MANDRAKE (MDKSA-2004:034): http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:034
REDHAT (RHSA-2004:569): http://www.redhat.com/support/errata/RHSA-2004-569.html
REDHAT (RHSA-2004:597): http://www.redhat.com/support/errata/RHSA-2004-597.html
BUGTRAQ (20040414 [OpenPKG-SA-2004.014] OpenPKG Security Advisory (mysql)): http://marc.theaimsgroup.com/?l=bugtraq&m=108206802810402&w=2
http://dev.mysql.com/doc/mysql/en/news-4-1-2.html
CIAC (P-018): http://www.ciac.org/ciac/bulletins/p-018.shtml
BID (10142): http://www.securityfocus.com/bid/10142
OSVDB (6421): http://www.osvdb.org/6421
SECTRACK (1009784): http://securitytracker.com/id?1009784
XF (mysql-mysqldmulti-symlink(15883)): http://xforce.iss.net/xforce/xfdb/15883
