CVE-2012-5627

Опубликовано: 03 дек. 2012

Источник: redhat

CVSS2: 2.6

EPSS Низкий

Уязвимость облегчения атак методом полного перебора паролей в Oracle MySQL и MariaDB из-за повторного использования соли в команде "change_user"

Описание

Обнаружена уязвимость в Oracle MySQL и MariaDB. Система не изменяет "соль" (salt) при многократном выполнении команды change_user в рамках одного соединения. Это облегчает удалённым аутентифицированным злоумышленникам проведение атак методом грубой силы для подбора паролей.

Заявление

Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьезности проблем.

Затронутые версии ПО

Oracle MySQL:
- Версии 5.5.x до 5.5.29
- Версии 5.3.x до 5.3.12
- Версии 5.2.x до 5.2.14
MariaDB:
- Версии 5.5.x до 5.5.29
- Версии 5.3.x до 5.3.12
- Версии 5.2.x до 5.2.14

Тип уязвимости

Облегчение атак методом полного перебора паролей (brute force)

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 5	mysql	Will not fix
Red Hat Enterprise Linux 6	mysql	Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low

https://bugzilla.redhat.com/show_bug.cgi?id=883719mysql: efficient password guessing attack using change_user()

EPSS

Процентиль: 88%

0.04131

Низкий

2.6 Low

CVSS2

Связанные уязвимости

CVE-2012-5627

ubuntu

больше 11 лет назад

Oracle MySQL and MariaDB 5.5.x before 5.5.29, 5.3.x before 5.3.12, and 5.2.x before 5.2.14 does not modify the salt during multiple executions of the change_user command within the same connection which makes it easier for remote authenticated users to conduct brute force password guessing attacks.