MiracleLinux 4mysql-5.1.52-1.AXS4.1 (AXSA:2011-32:01)
medium Nessus Plugin ID 284205
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2011-32:01 公告中所提及。MySQL 是多使用者、多執行緒的 SQL 資料庫伺服器。MySQL 是一個用戶端/伺服器實作,其中包含一個伺服器程序 (mysqld) 以及許多不同的用戶端程式與程式庫。基本套件內含 MySQL 用戶端程式、用戶端共用程式庫以及一般 MySQL 檔案。
此版本修正的安全性問題
CVE-2010-3677 [ 5.1.49 之前的 Oracle MySQL 5.1 和 5.0 之前的 5.0.92 允許經驗證的遠端使用者透過使用具有唯一 SET 欄之表格的聯結查詢造成拒絕服務 (mysqld 程序損毀)。
CVE-2010-3678 [ 5.1 之前的 Oracle MySQL 5.1.49 允許經驗證的遠端使用者透過含有 WITH ROLLUP 修改程式明確指定或間接提供之 NULL 引數的 (1) IN 或 (2) CASE 作業造成拒絕服務 (當機)。
CVE-2010-36795.1.49 之前的 Oracle MySQL 5.1 ] 允許經驗證的遠端使用者透過 BINLOG 命令的特定引數觸發未初始化記憶體的存取進而造成拒絕服務 (mysqld 程序損毀)valgrind 即為一例。
CVE-2010-3680 [ ] 之前的 5.1.49 之前的 Oracle MySQL 5.1 允許經驗證的遠端使用者透過在使用會觸發宣告失敗的 InnoDB 時建立含有 nullable 欄的暫時表格造成拒絕服務 (mysqld 程序損毀)。
CVE-2010-3681 [ 5.1 之前的 Oracle MySQL 5.1.49 和 5.5 之前的 5.5.5 允許經驗證的遠端使用者透過使用 HANDLER 介面及執行「從表格的兩個索引交替讀取」造成拒絕服務 (mysqld 程序損毀)其可觸發宣告失敗。
CVE-2010-3682 [ ] 之前的 Oracle MySQL 5.15.1.49 和 5.0 之前的 5.0.92 允許遠端經過驗證的使用者使用具有特製「SELECT ... UNION ... ORDER BY (SELECT ...
WHERE ...)' 陳述式其可在 Item_singlerow_subselect::store 函式中觸發 NULL 指標解除參照。
CVE-2010-3683 之前的 Oracle MySQL 5.15.1.49 和 5.5 之前的 5.5.5 在 LOAD DATA INFILE 要求產生 SQL 錯誤時會傳送一個 OK 封包進而允許經驗證的遠端使用者透過特製的要求造成拒絕服務 (mysqld 程序損毀)。
CVE-2010-38335.0 之前的 5.0.92、 5.1 之前的 5.1.51以及 5.5 之前的 5.5.6 未正確傳播類型錯誤進而允許遠端攻擊者透過特製極端值函式的引數造成拒絕服務 (伺服器當機) (1) LEAST 和 (2) GREATEST其與 KILL_BAD_DATA 和「CREATE TABLE ... SELECT.」 CVE-2010-38355.1 之前的 5.1.51 和 5.5 之前的 5.5.6 允許經驗證的遠端使用者透過在邏輯運算式中執行使用者變數指派造成拒絕服務 (mysqld 伺服器當機)其中邏輯運算式是針對 的暫存表格計算並儲存GROUP BY然後造成在建立表格之後使用運算式值進而造成重新評估運算式而不是從表格存取其值。
CVE-2010-3836 之前的 MySQL 5.05.0.92、 5.1 之前的 5.1.51以及 5.5 之前的 5.5.6 允許經驗證的遠端使用者透過與檢視準備、LIKE 預先評估相關的向量造成拒絕服務 (宣告失敗和伺服器當機)述詞,以及 IN 最佳化程式。
CVE-2010-3837 之前的 MySQL 5.05.0.92、 5.1 之前的 5.1.51以及 5.5 之前的 5.5.6 允許經驗證的遠端使用者透過使用 GROUP_CONCAT 及 WITH ROLLUP 修飾詞的準備好的陳述式造成拒絕服務 (伺服器當機)可能會觸發複製的物件在受到影響原始物件的方式遭到修改時會出現釋放後使用錯誤。
CVE-2010-3838 之前的 MySQL 5.05.0.92、 5.1 之前的 5.1.51以及 5.5 之前的 5.5.6 允許經驗證的遠端使用者透過使用 (1) GREATEST 或 (2) LEAST 的查詢造成拒絕服務 (伺服器當機)具有數值和 LONGBLOB 引數混合清單的函式當「使用中繼暫時表格處理函式結果」時未正確處理此問題。 CVE-2010-3839 [ 5.1 之前的 MySQL 5.1.51 和 5.5 之前的 5.5.6 允許經驗證的遠端使用者透過多次叫用 (1) 準備好的陳述式或 (2) 儲存的程序 (其以巢狀結構建立查詢)造成拒絕服務 (無限迴圈) JOIN 陳述式。
CVE-2010-3840 在 5.1.51 ] 之前的 MySQL 5.1 之前的版本中sql/spatial.cc 的 Gis_line_string::init_from_wkb 函式允許經驗證的遠端使用者使用含有 的 Well-Known Binary (WKB) 資料呼叫 PolyFromWKB 函式藉此造成拒絕服務 (伺服器當機) (1) 行字串或 (2) 行點的特製數目。
這些更新版套件會將 MySQL 升級至 5.1.52 版。如需完整變更清單請參閱 MySQL 版本資訊
<A HREF=http://dev.mysql.com/doc/refman/5.1/en/news-5-1-52.html>http://dev.mysql...
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 284205
檔案名稱: miracle_linux_AXSA-2011-32.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2010-3833
CVSS v3
風險因素: Medium
基本分數: 6.5
時間性分數: 5.9
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS 評分資料來源: CVE-2010-3835
弱點資訊
CPE: p-cpe:/a:miracle:linux:mysql, p-cpe:/a:miracle:linux:mysql-libs, p-cpe:/a:miracle:linux:mysql-server, p-cpe:/a:miracle:linux:mysql-bench, p-cpe:/a:miracle:linux:mysql-devel, p-cpe:/a:miracle:linux:mysql-test, cpe:/o:miracle:linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2011/2/15
弱點發布日期: 2010/7/9
參考資訊
CVE: CVE-2010-3677, CVE-2010-3678, CVE-2010-3679, CVE-2010-3680, CVE-2010-3681, CVE-2010-3682, CVE-2010-3683, CVE-2010-3833, CVE-2010-3835, CVE-2010-3836, CVE-2010-3837, CVE-2010-3838, CVE-2010-3839, CVE-2010-3840