Множественные уязвимости SQL-внедрения в коде репликации Oracle MySQL и MariaDB, позволяющие выполнять произвольные SQL-команды
Описание
Обнаружены множественные уязвимости SQL-внедрения в коде репликации Oracle MySQL и MariaDB. Удалённые аутентифицированные пользователи могут выполнять произвольные SQL-команды через векторы, связанные с бинарным логом (binary log).
Примечание: по состоянию на 16 января 2013 года Oracle не прокомментировала заявления от стороннего поставщика о том, что исправление в MySQL 5.5.29 является неполным.
Затронутые версии ПО
- Oracle MySQL (возможно, до версии 5.5.29)
- MariaDB:
- 5.1.x до 5.1.62
- 5.2.x до 5.2.12
- 5.3.x до 5.3.7
- 5.5.x до 5.5.25
Тип уязвимости
SQL-внедрение (SQL injection)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | mysql | Will not fix | ||
| Red Hat Enterprise Linux 6 | mysql | Will not fix |
Показывать по
Дополнительная информация
Статус:
EPSS
2.2 Low
CVSS2
Связанные уязвимости
Multiple SQL injection vulnerabilities in the replication code in Oracle MySQL possibly before 5.5.29, and MariaDB 5.1.x through 5.1.62, 5.2.x through 5.2.12, 5.3.x through 5.3.7, and 5.5.x through 5.5.25, allow remote authenticated users to execute arbitrary SQL commands via vectors related to the binary log. NOTE: as of 20130116, Oracle has not commented on claims from a downstream vendor that the fix in MySQL 5.5.29 is incomplete.
Multiple SQL injection vulnerabilities in the replication code in Oracle MySQL possibly before 5.5.29, and MariaDB 5.1.x through 5.1.62, 5.2.x through 5.2.12, 5.3.x through 5.3.7, and 5.5.x through 5.5.25, allow remote authenticated users to execute arbitrary SQL commands via vectors related to the binary log. NOTE: as of 20130116, Oracle has not commented on claims from a downstream vendor that the fix in MySQL 5.5.29 is incomplete.
Multiple SQL injection vulnerabilities in the replication code in Orac ...
Multiple SQL injection vulnerabilities in the replication code in Oracle MySQL possibly before 5.5.29, and MariaDB 5.1.x through 5.1.62, 5.2.x through 5.2.12, 5.3.x through 5.3.7, and 5.5.x through 5.5.25, allow remote authenticated users to execute arbitrary SQL commands via vectors related to the binary log. NOTE: as of 20130116, Oracle has not commented on claims from a downstream vendor that the fix in MySQL 5.5.29 is incomplete.
EPSS
2.2 Low
CVSS2