偵測

MiracleLinux 3mysql-5.0.77-3.1AXS3 (AXSA:2009-392:01)

high Nessus Plugin ID 284440

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 3 主機已安裝受到多個弱點影響的套件如 AXSA:2009-392:01 公告中所提及。

 MySQL 是多使用者、多執行緒的 SQL 資料庫伺服器。MySQL 是一個用戶端/伺服器實作,其中包含一個伺服器程序 (mysqld) 以及許多不同的用戶端程式與程式庫。基本套件內含 MySQL 用戶端程式、用戶端共用程式庫以及一般 MySQL 檔案。
 此版本修正的安全性錯誤
 CVE-2008-2079 在 4.1.x 之前的 4.1.24、 5.0.x 之前的 5.0.60、 5.1.x 之前的 5.1.24以及 6.0.x 之前的 6.0.5 允許本機使用者透過在具有已修改 (1) 資料目錄的 MyISAM 表格上呼叫 CREATE TABLE 來繞過特定權限檢查或 (2) MySQL 主資料目錄中的 INDEX DIRECTORY 引數其可指向日後建立的表格。
 CVE-2008-3963 [ 5.0 之前的 5.0.66、 5.1 之前的 5.1.26] 以及 6.0 之前的 6.0.6 沒有正確處理 a b'' (b 單引號單引號) token (亦即空的位元字串常值)其允許遠端攻擊者可在 SQL 陳述式中使用此 token 來造成拒絕服務 (程序損毀)。
 CVE-2008-4456 在 MySQL 5.0.26 至 5.0.45以及其他版本 (包括 5.0.45之後的版本在內)中命令行用戶端存在跨網站指令碼 (XSS) 弱點在已啟用 --html 選項時允許攻擊者插入任意 Web 指令碼或HTML 的方式為將其放置在資料庫儲存格中而撰寫 HTML 文件時此用戶端可能會存取此資料庫儲存格。注意截至 20081031該問題尚未在 MySQL 中修正 5.0.67。
 CVE-2009-2446 ] 在 MySQL 4.0.0 到 5.0.83 的 mysqld 中libmysqld/sql_parse.cc 之 dispatch_command 函式中的多個格式字串弱點允許經驗證的遠端使用者造成拒絕服務 (程序損毀)且可能透過(1) COM_CREATE_DB 或 (2) COM_DROP_DB 要求中的資料庫名稱。注意: 上述詳細資料中有部分是來自第三方資訊。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/1030

Plugin 詳細資訊

嚴重性: High

ID: 284440

檔案名稱: miracle_linux_AXSA-2009-392.nasl

版本: 1.1

類型: local

已發布: 2026/1/14

已更新: 2026/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 8.5

時間性分數: 6.7

媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2009-2446

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2008-3963

弱點資訊

CPE: p-cpe:/a:miracle:linux:mysql-bench, p-cpe:/a:miracle:linux:mysql-devel, p-cpe:/a:miracle:linux:mysql-server, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:mysql

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2009/9/8

弱點發布日期: 2008/3/28

參考資訊

CVE: CVE-2008-2079, CVE-2008-3963, CVE-2008-4456, CVE-2009-2446