CERT-FI haavoittuvuustiedote 025/2006

3.5.2006

Haavoittuvuuksia MySQL-ohjelmistoissa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

MySQL on laajasti käytössä oleva avoimeen lähdekoodiin perustuva tietokantaohjelmisto. Ohjelmistosta on löydetty haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjällä on mahdollista suorittaa kohdetietojärjestelmässä omaa ohjelmakoodia tai lukea kohdetietojärjestelmän muistia. Haavoittuvuuksia hyödyntävien ohjelmien esimerkkilähdekoodi on julkaistu.

HAAVOITTUVAT OHJELMISTOT:

• MySQL -ohjelmistot, joiden versio on 4.0.26 tai vanhempi

• MySQL -ohjelmistot, joiden versio on 4.1.18 tai vanhempi

• MySQL -ohjelmistot, joiden versio on 5.0.20 tai vanhempi

• MySQL -ohjelmistot, joiden versio on 5.1.9 tai vanhempi

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

MySQL 5.0.x -sarjan ohjelmistoille on julkistettu haavoittuvuuden korjaava päivitysversio 5.0.21. Päivitys on ladattavissa osoitteesta

http://dev.mysql.com/downloads/mysql/5.0.html

MySQL 4.0.x, 4.1.x ja 5.1.x -sarjojen ohjelmistojen versioissa 4.0.27, 4.1.19 ja 5.1.10 kyseiset haavoittuvuudet on korjattu.

LISÄTIETOA:

http://www.securityfocus.com/bid/17780

http://dev.mysql.com/doc/refman/5.0/en/news-5-0-21.html

CVE-2006-1516 CVE-2006-1517 CVE-2006-1518

PÄIVITYSHISTORIA:

03.05.2006: Julkaistu

11.03.2007: Lisätty tieto 4.0.x, 4.1.x ja 5.1.x -sarjojen päivityksistä.

Sivua päivitetty 11.03.2007

Tulostusversio