MagicLinux 4mysql-5.1.52-1.AXS4.1 (AXSA:2011-32:01)
medium Nessus 插件 ID 284205
语言:
简介
远程iraclelinux 主机缺少一个或多个安全更新。描述
远程MiracleLinux 4 主机上存在安装的程序包该程序包受到 AXSA:2011-32:01 公告中提及的多个漏洞的影响。MySQL 是一款多用户、多线程 SQL 数据库服务器。MySQL 是一种客户端/服务器实现,包含服务器后台程序 (mysqld) 以及许多不同的客户端程序和库。Base 程序包中包含 MySQL 客户端程序、客户端共享库和通用 MySQL 文件。
此版本修复的安全问题
CVE-2010-3677 Oracle MySQL 5.1 之前的 5.1.49 和 5.0 之前的 5.0.92 允许经认证的远程用户通过连接查询该查询使用具有唯一 SET 列的表造成拒绝服务mysqld 后台程序崩溃。
CVE-2010-36785.1.49 之前的 Oracle MySQL 5.1 ] 允许经认证的远程用户通过含有明确指定或由 WITH ROLLUP 修改程序间接提供的空参数的 (1) IN 或 (2) CASE 操作来造成拒绝服务崩溃。
CVE-2010-36795.1.49 之前的 Oracle MySQL 5.1 ] 允许经认证的远程用户通过 BINLOG 命令的某些参数造成拒绝服务mysqld 后台程序崩溃这会触发访问未初始化的内存valgrind 即为一例。
CVE-2010-36805.1.49 之前的 Oracle MySQL 5.1 允许远程认证用户在使用 InnoDB 时创建包含可空列的临时表造成拒绝服务mysqld 后台程序崩溃触发断言失败。
CVE-2010-3681 Oracle MySQL 5.1 之前的 5.1.49 和 5.5 之前的 5.5.5 允许经认证的远程用户通过使用 HANDLER 接口并执行“从表中的两个索引交替读取”造成拒绝服务mysqld 后台程序崩溃其触发断言失败。
CVE-2010-3682 Oracle MySQL 5.1 之前的 5.1.49 和 5.0 之前的 5.0.92 允许经认证的远程用户通过使用含有特制的“SELECT ... UNION ... ORDER BY (SELECT ...
WHERE ...)”语句这会在 Item_singlerow_subselect::store 函数中触发空指针取消引用。
CVE-2010-3683 Oracle MySQL 5.1 之前的 5.1.49 和 5.5 之前的 5.5.5 在 LOAD DATA INFILE 请求生成 SQL 错误时发送 OK 数据包从而允许经认证的远程用户通过构建的请求造成拒绝服务mysqld 后台程序崩溃。
CVE-2010-3833 之前的 MySQL 5.05.0.92、 5.1 之前的 5.1.51以及 5.5 之前的 5.5.6 未正确传播类型错误允许远程攻击者通过极值函数的构建参数造成拒绝服务服务器崩溃如 (1) LEAST 和 (2) GREATEST与 KILL_BAD_DATA 和“CREATE TABLE ... SELECT.” CVE-2010-3835 [ ] 之前的 MySQL 5.1 ] 和 5.5 之前的 5.1.51 ] 和 5.5.6 允许经认证的远程用户通过在逻辑表达式中执行用户变量分配造成拒绝服务mysqld 服务器崩溃该逻辑表达式是在 的临时表中计算和存储的GROUP BY则导致在创建表之后使用表达式值从而导致重新评估表达式而不是访问其表中的值。
CVE-2010-3836 之前的 5.0.925.0 的 MySQL ]、 5.1 之前的 5.1.51和 5.5 之前的 5.5.6 允许经过认证的远程用户通过与视图准备、LIKE 预评估有关的矢量造成拒绝服务断言失败和服务器崩溃谓词和 IN 优化器。
CVE-2010-3837 MySQL 5.0 之前的 5.0.92、 5.1 之前的 5.1.51和 5.5 之前的 5.5.6 允许经过认证的远程用户通过使用带 WITH ROLLUP 修饰符的 GROUP_CONCAT 的预处理语句造成拒绝服务服务器崩溃可能会触发以也影响原始对象的方式修改复制的对象时出现释放后使用错误。
CVE-2010-3838 MySQL 5.0 之前的 5.0.92、 5.1 之前的 5.1.51和 5.5 之前的 5.5.6 允许经过认证的远程用户通过使用 (1) GREATEST 或 (2) LEAST 的查询造成拒绝服务服务器崩溃函数具有数值参数和 LONGBLOB 参数的混合列表当函数的结果为“使用中间临时表进行处理”时其未得到正确处理。 CVE-2010-3839 MySQL 5.1 before 5.1.51 和 5.5 before 5.5.6 之前的 MySQL [] 和 [] 允许经认证的远程用户通过调用 (1) 预处理语句或 (2) 存储的过程使用嵌套的查询造成拒绝服务无限循环JOIN 语句。
CVE-2010-3840 低于 5.1.51 的 MySQL 5.1 中sql/spatial.cc 的 Gis_line_string::init_from_wkb 函数允许经认证的远程用户造成拒绝服务服务器崩溃方法是使用包含构建的多个 (1) 行字符串或 (2) 行点。
这些更新后的程序包用于将 MySQL 升级到版本 5.1.52。完整的变更列表请参阅 MySQL 发行说明
<A HREF=http://dev.mysql.com/doc/refman/5.1/en/news-5-1-52.html>http://dev.mysql...
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
插件详情
严重性: Medium
ID: 284205
文件名: miracle_linux_AXSA-2011-32.nasl
版本: 1.1
类型: local
发布时间: 2026/1/14
最近更新时间: 2026/1/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
Vendor
Vendor Severity: High
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2010-3833
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.9
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2010-3835
漏洞信息
CPE: p-cpe:/a:miracle:linux:mysql, p-cpe:/a:miracle:linux:mysql-libs, p-cpe:/a:miracle:linux:mysql-server, p-cpe:/a:miracle:linux:mysql-bench, p-cpe:/a:miracle:linux:mysql-devel, p-cpe:/a:miracle:linux:mysql-test, cpe:/o:miracle:linux:4
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2011/2/15
漏洞发布日期: 2010/7/9
参考资料信息
CVE: CVE-2010-3677, CVE-2010-3678, CVE-2010-3679, CVE-2010-3680, CVE-2010-3681, CVE-2010-3682, CVE-2010-3683, CVE-2010-3833, CVE-2010-3835, CVE-2010-3836, CVE-2010-3837, CVE-2010-3838, CVE-2010-3839, CVE-2010-3840