Összefoglaló
Jelentettek egy sérülékenységet a MySQL-ben, amit rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás előidézésére (DoS).
Leírás
Jelentettek egy sérülékenységet a MySQL-ben, amit rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás előidézésére (DoS).
- A sérülékenységet egy NULL mutató hivatkozás feloldási hiba okozza a filesort() függvényben, a lekérdezésekben használt bizonyos egysoros elválasztások (subselect) feldolgozásakor, ha azokat az “ORDER BY” utasítással rendezték. Ezt kihasználva lefagyasztható a szolgáltatás egy különlegesen kialakított SQL lekérdezéssel.
- A sérülékenységet egy NULL mutató hivatkozás feloldási hiba okozza bizonyos INFORMATION_SCHEMA táblázatot vagy abból származó táblázatokat érintő lekérdezések feldolgozásakor. Ezt kihasználva lefagyasztható a szolgáltatás egy különlegesen kialakított SQL lekérdezéssel.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-7232 - NVD CVE-2006-7232
Egyéb referencia: www.sec-consult.com
SECUNIA 24483
CVE-2007-1420 - NVD CVE-2007-1420
Gyártói referencia: bugs.mysql.com