Mandriva Linux 安全公告:mariadb (MDVSA-2014:028)

high Nessus 插件 ID 72495

简介

远程 Mandriva Linux 主机缺少一个或多个安全更新。

描述

已在 mariadb 中发现并修正了多种漏洞:

5.5.35 之前的 Oracle MySQL 和 MariaDB 中的 client/mysql.cc 中的缓冲区溢出允许远程数据库服务器通过长服务器版本字符串,造成拒绝服务(崩溃)和可能执行任意代码 (CVE-2014-0001)。

在 Oracle MySQL 5.1.72 和较早版本、Oracle MySQL 5.5.34 和较早版本,以及 Oracle MySQL 5.6.14 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过与 InnoDB 相关的未知矢量影响可用性 (CVE-2014-0412)。

在 Oracle MySQL 5.1.72 和较早版本、5.5.34 和较早版本,以及 5.6.14 和较早版本中,MySQL Server 组件的不明漏洞允许远程认证的用户通过与优化器相关的未知矢量影响可用性 (CVE-2014-0437)。

在 Oracle MySQL 5.1.72 和较早版本、Oracle MySQL 5.5.34 和较早版本以及 Oracle MySQL 5.6.14 和较早版本中,MySQL Server 组件的不明漏洞允许远程攻击者通过与 Error Handling 相关的未知矢量影响可用性 (CVE-2013-5908)。

在 Oracle MySQL 5.5.34 和较早版本,以及 Oracle MySQL 5.6.14 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过与 Replication 相关的未知矢量影响可用性 (CVE-2014-0420)。

在 Oracle MySQL 5.1.71 和较早版本、Oracle MySQL 5.5.33 和较早版本,以及 Oracle MySQL 5.6.13 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过与 InnoDB 相关的未知矢量影响完整性 (CVE-2014-0393)。

在 Oracle MySQL 5.5.33 和较早版本,以及 Oracle MySQL 5.6.13 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过与 Partition 相关的未知矢量影响可用性 (CVE-2013-5891)。

在 Oracle MySQL 5.1.71 和较早版本、5.5.33 和较早版本,以及 5.6.13 和较早版本中,MySQL Server 组件的不明漏洞允许远程认证的用户通过与优化器相关的未知矢量影响可用性 (CVE-2014-0386)。

在 Oracle MySQL 5.1.72 和较早版本、Oracle MySQL 5.5.34 和较早版本,以及 Oracle MySQL 5.6.14 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过未知矢量影响可用性 (CVE-2014-0401)。

在 Oracle MySQL 5.1.71 和较早版本、Oracle MySQL 5.5.33 和较早版本,以及 Oracle MySQL 5.6.13 和较早版本中,MySQL Server 组件的不明漏洞允许经过认证的远程用户通过与 Locking 相关的未知矢量影响可用性 (CVE-2014-0402)。

已将更新后的程序包已升级到 5.5.35 版本,因此不易受到这些问题的影响。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?17c46362

https://mariadb.com/kb/en/library/mariadb-5535-release-notes/

插件详情

严重性: High

ID: 72495

文件名: mandriva_MDVSA-2014-028.nasl

版本: 1.6

类型: local

发布时间: 2014/2/14

最近更新时间: 2021/1/6

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:ND/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:mandriva:linux:lib64mariadb-devel, p-cpe:/a:mandriva:linux:lib64mariadb-embedded-devel, p-cpe:/a:mandriva:linux:lib64mariadb-embedded18, p-cpe:/a:mandriva:linux:lib64mariadb18, p-cpe:/a:mandriva:linux:mariadb, p-cpe:/a:mandriva:linux:mariadb-bench, p-cpe:/a:mandriva:linux:mariadb-client, p-cpe:/a:mandriva:linux:mariadb-common, p-cpe:/a:mandriva:linux:mariadb-common-core, p-cpe:/a:mandriva:linux:mariadb-core, p-cpe:/a:mandriva:linux:mariadb-extra, p-cpe:/a:mandriva:linux:mariadb-feedback, p-cpe:/a:mandriva:linux:mariadb-obsolete, p-cpe:/a:mandriva:linux:mysql-MariaDB, cpe:/o:mandriva:business_server:1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2014/2/13

参考资料信息

CVE: CVE-2013-5891, CVE-2013-5908, CVE-2014-0001, CVE-2014-0386, CVE-2014-0393, CVE-2014-0401, CVE-2014-0402, CVE-2014-0412, CVE-2014-0420, CVE-2014-0437

BID: 64888, 64891

MDVSA: 2014:028