早於 5.6.31 的 MySQL 5.6.x 版本的多個弱點

high Nessus Plugin ID 91995

語系：

概要

遠端資料庫伺服器受到多個弱點影響。

說明

遠端主機上安裝的 MySQL 5.6.x 版比 5.6.31 舊。因此，會受到多個弱點影響：

- 檔案 crypto/evp/encode.c 內的 EVP_EncodeUpdate() 函式存在一個堆積緩衝區溢位情形，處理大量輸入資料時會觸發此情形。未經驗證的遠端攻擊者可加以惡意利用，進而引發拒絕服務情形。(CVE-2016-2105)

- Security: Encryption 子元件中存在一個不明瑕疵，其允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
目前尚無其他詳細資料可以提供。(CVE-2016-3452)

- InnoDB 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-3459)

- Options 子元件中存在一個不明瑕疵，其允許本機攻擊者取得提升的權限。目前尚無其他詳細資料可以提供。
(CVE-2016-3471)

- Parser 子元件中存在一個不明瑕疵，其允許本機攻擊者取得提升的權限。目前尚無其他詳細資料可以提供。
(CVE-2016-3477)

- FTS 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-3486)

- Optimizer 子元件中存在一個不明瑕疵，會允許經驗證的遠端攻擊者造成拒絕服務情況。目前尚無其他詳細資料可以提供。(CVE-2016-3501)

- Types 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-3521)

- Security: Encryption 子元件存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-3614)

- DML 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-3615)

- Privileges 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-5439)

- RBR 子元件中存在一個不明瑕疵，其允許經驗證的遠端攻擊者造成拒絕服務情形。目前尚無其他詳細資料可以提供。(CVE-2016-5440)

- Connection 子元件中存在一個不明瑕疵，其允許未經驗證的遠端攻擊者洩漏潛在的敏感資訊。
目前尚無其他詳細資料可以提供。(CVE-2016-5444)

- 存在多個溢位情形，這是因為不當驗證使用者提供的輸入所導致。經驗證的遠端攻擊者可惡意利用這些問題，藉此造成拒絕服務情形或執行任意程式碼。(VulnDB 139552)

- 剖析器結構中存在一個 NULL 指標解除參照瑕疵，在驗證儲存的程序名稱期間會觸發該瑕疵。經驗證的遠端攻擊者可惡意利用此問題來造成資料庫損毀，進而導致拒絕服務情形。
(VulnDB 139553)

- InnoDB memcached 外掛程式中存在多個溢位情形，這是因為不當驗證使用者提供的輸入所導致。經驗證的遠端攻擊者可惡意利用這些問題，藉此造成拒絕服務情形或執行任意程式碼。
(VulnDB 139554)

- 存在一個不明瑕疵，當在多個執行緒中同時叫用 Enterprise Encryption 函式或在予以建立及中斷後叫用時，會觸發該瑕疵。經驗證的遠端攻擊者可惡意利用此問題來造成資料庫損毀，進而導致拒絕服務情形。(VulnDB 139555)

- 存在一個不明瑕疵，當在處理以鬆散索引掃描執行的「SELECT ...GROUP BY ...FOR UPDATE」查詢時觸發該瑕疵。經驗證的遠端攻擊者可惡意利用此問題來造成資料庫損毀，進而導致拒絕服務情形。
(VulnDB 139556)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。