Обновление MariaDB с устранением zero-day уязвимости, затрагивающей кодовую базу MySQL

3 декабря 2012 года

Разработчики MariaDB оперативно отреагировали на опубликованные в выходные эксплоиты, использующие zero-day уязвимости в кодовой базе MySQL. В экстренном порядке выпущены обновления MariaDB 5.5.28a, 5.3.11, 5.2.13 и 5.1.66, в которых устранена проблема CVE-2012-5579, позволяющая аутентифицированному пользователю запустить код с правами процесса mysqld.

Из остальных проблем:

  • CVE-2012-5611 дублирует уже исправленную уязвимость CVE-2012-5579;
  • CVE-2012-5612 и CVE-2012-5614 - позволяют вызвать крах процесса. Проблемы будут (Архивная копия от 5 мая 2020 на Wayback Machine) исправлены (Архивная копия от 4 июня 2016 на Wayback Machine) в ближайшее время;
  • CVE-2012-5613 - не признана уязвимостью, так как для эксплуатации требуется наличие привилегий FILE, которые могут появиться у обычного пользователя только из-за ошибки администратора. Разработчик эксплоита не согласился с такой точкой зрения, указав, что получение прав "ADMIN" имея только права "FILE" не является штатным поведением;
  • CVE-2012-5615 - метод обнаружения наличия пользователя, разработчики MariaDB ищут (Архивная копия от 28 июня 2016 на Wayback Machine) способ блокировать проблему;

Отмечается, что компания Oracle пока никак не отреагировала на наличие данных проблем в MySQL. О времени выхода обновления для MySQL пока ничего не известно.

Дополнение: Компания Red Hat ведёт работу по созданию патчй для MySQL.

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Обновление MariaDB с устранением zero-day уязвимости, затрагивающей кодовую базу MySQL», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.