MySQL 使用者定義函式多個弱點
high Nessus Plugin ID 17698
語言:
概要
遠端資料庫伺服器可能受到多個弱點的影響。說明
MySQL 中的使用者定義函式可允許資料庫使用者造成主機上的二進位程式庫載入。對於要建立使用者定義函式的使用者,表格「mysql.func」上的插入權限是必要的。在 Windows 和可能的其他作業系統上執行時,MySQL 可能受到下列弱點影響:- 如果要求無效的程式庫,則 Windows 函式「LoadLibraryEx」將會封鎖處理,直到伺服器上確認錯誤對話方塊為止。
非 Windows 系統不太可能受此特別問題影響。
- MySQL 需要使用者定義程式庫包含之函式的名稱符合格式:「XXX_deinit」或「XXX_init」。不過,已知含有符合這些格式之函式的其他程式庫,當呼叫時,可造成應用程式損毀、記憶體損毀及堆疊干擾。
解決方案
目前無已知的修正或修補程式可解決這些問題。但是,請確認已限制建立使用者定義函式的存取權。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 17698
檔案名稱: mysql_user_defined_functions_restrictions.nasl
版本: 1.14
類型: remote
系列: Databases
已發布: 2011/11/18
已更新: 2025/8/26
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 8.5
時間性分數: 6.3
媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2005-2572
CVSS v3
風險因素: High
基本分數: 8.8
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 評分資料來源: CVE-2005-2572
弱點資訊
CPE: cpe:/a:mysql:mysql
必要的 KB 項目: Settings/PCI_DSS
可輕鬆利用: No known exploits are available
由 Nessus 利用: true
弱點發布日期: 2005/8/8
參考資訊
CVE: CVE-2005-2572
BID: 62358