• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Бюллетень безопасности RHSA-2010:0442-01

Главная Специалистам База уязвимостей Бюллетень безопасности RHSA-2010:0442-01

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
mysql (any) mysql-bench (any) mysql-devel (any) mysql-server (any) mysql-test (any)
Описание
MySQL - это многопользовательский и многопоточный SQL-сервер базы данных. Он состоит из демона MySQL-сервера (mysqld) и множества клиентских программ и библиотек.
Ошибка, связанная с переполнение буфера, обнаружена в MySQL при обработке параметров команды сетевого протокола MySQL COM_FIELD_LIST (эта команда применяется, когда клиент использует функцию MySQL mysql_list_fields() клиентской библиотеки). Аутентифицированный пользователь базы данных может отправить запрос со слишком длинным именем таблицы, чтобы вызвать временный отказ в обслуживании (аварийное завершение работы mysqld) или выполнить произвольный код с привилегиями сервера базы данных. (CVE-2010-1850)
Ошибка, связанная с обходом каталога, обнаружена в MySQL при обработке параметров команды сетевого протокола MySQL COM_FIELD_LIST. Аутентифицированный пользователь базы данных может использовать данную уязвимость, чтобы получить описания полей произвольных таблиц, используя запрос со специально сформированным именем таблицы. (CVE-2010-1848)
Ошибки обнаружены в MySQL при обработке символических ссылок на таблицы, которые созданы с использованием директив DATA DIRECTORY и INDEX DIRECTORY в выражениях CREATE TABLE. Злоумышленник с привилегиями на таблицы CREATE и DROP и доступом shell к серверу базы данных может использовать данную уязвимость, чтобы удалить файлы данных и индексные файлы, созданные другими пользователями базы данных с использованием MyISAM. (CVE-2010-1626)
Всем пользователям MySQL рекомендуется обновить программное обеспечение, чтобы избавиться от указанной проблемы. После установки данного обновления демон MySQL-сервера (mysqld) будет перезапущен автоматически.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://rhn.redhat.com/errata/RHSA-2010-0442.html
Ссылки
CVE (CVE-2010-1626): https://www.redhat.com/security/data/cve/CVE-2010-1626.html
CVE (CVE-2010-1848): https://www.redhat.com/security/data/cve/CVE-2010-1848.html
CVE (CVE-2010-1850): https://www.redhat.com/security/data/cve/CVE-2010-1850.html
BUGZILLA (553648): http://bugzilla.redhat.com/553648
BUGZILLA (592079): http://bugzilla.redhat.com/592079
BUGZILLA (592091): http://bugzilla.redhat.com/592091

Источник: CVE
Наименование: CVE-2010-1626
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1626

Источник: CVE
Наименование: CVE-2010-1848
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1848

Источник: CVE
Наименование: CVE-2010-1850
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1850