• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Отказ в обслуживании

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
MySQL Server (3.0.0, 3.23.49, 4.0.0, 4.0.21)
Описание
MySQL содержит уязвимость, которая позволяет удаленно вызвать отказ в обслуживании. Уязвимость возникает, когда злоумышленник использует многочисленные потоки, чтобы применить ALTER к той же самой или MERGE к другой таблице, с целью изменить UNION, что приводит к тому, что сервер становится недоступным.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://dev.mysql.com/downloads/
Ссылки
www.debian.org (DSA-562-1 mysql -- several vulnerabilities): http://www.debian.org/security/2004/dsa-562
rhn.redhat.com (Updated mysql packages fix security issues and bugs): http://www.redhat.com/support/errata/RHSA-2004-597.html
www.trustix.org (Trustix Secure Linux Security Advisory #2004-0054): http://www.trustix.org/errata/2004/0054/
ISS X-Force (MySQL UNION change denial of service): http://xforce.iss.net/xforce/xfdb/17667
GENTOO (GLSA-200410-22): http://www.gentoo.org/security/en/glsa/glsa-200410-22.xml
MISC (http://bugs.mysql.com/2408): http://bugs.mysql.com/2408
MISC (http://lists.mysql.com/internals/16168): http://lists.mysql.com/internals/16168
MISC (http://lists.mysql.com/internals/16173): http://lists.mysql.com/internals/16173
MISC (http://lists.mysql.com/internals/16174): http://lists.mysql.com/internals/16174
MISC (http://mysql.bkbits.net:8080/mysql-3.23/diffs/myisammrg/myrg_open.c@1.15): http://mysql.bkbits.net:8080/mysql-3.23/diffs/myisammrg/myrg_open.c@1.15
REDHAT (RHSA-2004:611): http://www.redhat.com/support/errata/RHSA-2004-611.html
BID (11357): http://www.securityfocus.com/bid/11357
MISC (http://www.securitytracker.com/alerts/2004/Oct/1011606.html): http://www.securitytracker.com/alerts/2004/Oct/1011606.html

SECTRACK (1011606): http://securitytracker.com/id?1011606
CIAC (P-018): http://www.ciac.org/ciac/bulletins/p-018.shtml
CONECTIVA (CLA-2004:892): http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000892
BUGTRAQ (20041125 [USN-32-1] mysql vulnerabilities): http://marc.theaimsgroup.com/?l=bugtraq&m=110140517515735&w=2
SUNALERT (101864): http://sunsolve.sun.com/search/document.do?assetkey=1-26-101864-1