Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
MySQL Server
(4.1.0, 4.1.21, 5.0.0, 5.0.19, 5.1.0, 5.1.6)
mysql-server-4.1
(5.10 - mysql-server-4.1 0.0.0, 5.10 - mysql-server-4.1 4.1.12-1ubuntu3.7)
Описание
Уязвимость форматной строки в time.cc в MySQL Server позволяет удаленным авторизованным пользователям вызвать отказ в обслуживании (аварийное завершение), задав форматную строку вместо даты в качестве первого параметра функции date_format, что затем используется при вызове форматируемой распечатки, чтобы отобразить сообщение об ошибке.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mysql.com/
http://www.mysql.com/
Ссылки
http://dev.mysql.com/doc/refman/4.1/en/news-4-1-21.html
DEBIAN (DSA-1112): http://www.debian.org/security/2006/dsa-1112
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375694
http://bugs.mysql.com/bug.php?id=20729
BID (19032): http://www.securityfocus.com/bid/19032
UBUNTU (USN-321-1): http://www.ubuntu.com/usn/usn-321-1
GENTOO (GLSA-200608-09): http://security.gentoo.org/glsa/glsa-200608-09.xml
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930
DEBIAN (DSA-1112): http://www.debian.org/security/2006/dsa-1112
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375694
http://bugs.mysql.com/bug.php?id=20729
BID (19032): http://www.securityfocus.com/bid/19032
UBUNTU (USN-321-1): http://www.ubuntu.com/usn/usn-321-1
GENTOO (GLSA-200608-09): http://security.gentoo.org/glsa/glsa-200608-09.xml
http://docs.info.apple.com/article.html?artnum=305214
FRSIRT (ADV-2007-0930): http://www.frsirt.com/english/advisories/2007/0930