Összefoglaló
A MySQL több sérülékenységét jelentették, amelyeket kihasználva a rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak és feltörhetik a sérülékeny rendszert, továbbá a támadók brute force támadásokat kezdeményezhetnek.
Leírás
- Bizonyos funkciókban az adatbázis nevek feldolgozása során jelentkező hiba, a hozzáférési jogok ellenőrzésekor kihasználható verem alapú puffer túlcsordulás okozására.
A sérülékenység az alábbi sérülékenység 1-es pontjával kapcsolatos:
CERT-Hungary CH-7773 - A tábla törléskor jelentkező hiba kihasználható halom alapú puffer túlcsordulás okozására.
- A COM_BINLOG_DUMP parancs kezelésekor jelentkező hiba kihasználható a daemon összeomlasztására.
- A hitelesítési hibák kezelésekor jelentkező hiba kihasználható az érvényes felhasználói fiókok megszámlálásához.
Az 1-es és 2-es pontban felsorolt sérülékenységek sikeres kihasználása tetszőleges kód futtatását teszik lehetővé.
A sérülékenységeket az 5.1.53 és 5.5.19 verziókban jelentették. Más verziók is érintettek lehetnek.
Megoldás
A sérülékenységek javítására jelenleg nincs hivatalos megoldás.
Támadás típusa
Other (Egyéb)Unspecified (Nem részletezett)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
Egyéb referencia: archives.neohapsis.com
SECUNIA 51427
CVE-2012-5611 - NVD CVE-2012-5611
CVE-2012-5612 - NVD CVE-2012-5612
CVE-2012-5614 - NVD CVE-2012-5614
CVE-2012-5615 - NVD CVE-2012-5615