MySQL 用户定义函数多种漏洞
high Nessus 插件 ID 17698
语言:
简介
远程数据库服务器可能受到多种漏洞影响。描述
MySQL 中用户定义函数可允许数据库用户造成加载主机上的二进制库。对于要创建用户定义函数的用户,需要表“mysql.func”上的插入权限。在 Windows 和可能的其他操作系统上运行时,MySQL 可能受到以下漏洞影响:- 如果请求无效的库,则 Windows 函数“LoadLibraryEx”将会阻断处理,直到服务器上确认错误对话框为止。
非 Windows 系统不太可能受此特别问题影响。
- MySQL 需要用户定义库包含的函数名称符合格式:“XXX_deinit”或“XXX_init”。不过,已知其他库包含符合这些格式的函数,当调用时,可造成应用程序崩溃、内存损坏及堆栈污染。
解决方案
当前无任何用于解决这些问题的已知补丁或修补程序。但是,请确保已限制创建用户定义函数的访问权限。另见
插件详情
严重性: High
ID: 17698
文件名: mysql_user_defined_functions_restrictions.nasl
版本: 1.14
类型: remote
系列: Databases
发布时间: 2011/11/18
最近更新时间: 2025/8/26
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 8.5
时间分数: 6.3
矢量: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2005-2572
CVSS v3
风险因素: High
基本分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 分数来源: CVE-2005-2572
漏洞信息
CPE: cpe:/a:mysql:mysql
必需的 KB 项: Settings/PCI_DSS
易利用性: No known exploits are available
被 Nessus 利用: true
漏洞发布日期: 2005/8/8
参考资料信息
CVE: CVE-2005-2572
BID: 62358