Összefoglaló
Néhány sérülékenységet jelentettek a MySQL-ben, amelyet kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak, vagy rosszindulatú támadók hamisításos (spoofing) támadásokat hajthatnak végre.
Leírás
Néhány sérülékenységet jelentettek a MySQL-ben, amelyet kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak, vagy rosszindulatú támadók hamisításos (spoofing) támadásokat hajthatnak végre.
- Egy hiba van az OpenSSL könyvtárakhoz csatolt MySQL kliensek “vio_verify_callback()” függvényében. Ez kihasználható “középső ember” (Man-in-the-Middle) támadások végrehajtására, egy nulla-mélységű tanúsítványt használó MySQL szerver segítségével.
- A “SELECT” utasítások “WHERE” allekérdezéseinek hiányzó hibakezelése kihasználható szerverösszeomlás okozására.
- A “GeomFromWKB()” függvény nem őrzi meg egy argumentum nulla érték jelzőjét, amikor geometriai értéket kezel első argumentumként. Ez kihasználható szerverösszeomlás okozására.
A sérülékenységet az 5.1.41 és az 5.0.88 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: dev.mysql.com
Gyártói referencia: dev.mysql.com
SECUNIA 37372
CVE-2009-4019 - NVD CVE-2009-4019
CVE-2009-4028 - NVD CVE-2009-4028