![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR12-182 Oracle - Sårbarheter i MySQL
Ett antal sårbarheter har identifierats i Oracle MySQL.
Problembeskrivning
CVE-referens: CVE-2012-5612 CVE-2012-5614 CVE-2012-5615
Totalt är det 5 stycken sårbarheter som har rapporterats på e-postlistan "Full Disclosure".
En av de rapporterade sårbarheterna ska enligt Sergei Golubchik vara en dubblett av en tidigare rapporterad sårbarhet. En annan ska bara existera på en "felkonfigurerad" server. Se länken till ZDnet för mer info.
De tre kvarvarande sårbarheterna beskrivs kort nedan:
CVE-2012-5612:
En "heap"-baserad bufferöverflödning existerar i MySQL. En autentiserad användare kan utnyttja sårbarheten för att exekvera godtycklig kod med samma rättigheter som MySQL-servern har.
CVE-2012-5614:
Sårbarheten kan utnyttjas av en autentiserad användare för att krascha en MySQL-server.
CVE-2012-5615:
Sårbarheten går att utnyttjas av en extern icke autentiserad användare för att enumrera fram giltiga användarnamn.
Vid skrivandets stund finns inga rättningar att tillgå, men enligt Golubchik så jobbar man på att ta fram rättningar.
För mer information, se länkarna nedan.
Mer information och programrättningar
http://seclists.org/oss-sec/2012/q4/388
http://www.zdnet.com/vulnerabilities-threaten-to-crash-mysql-databases-7000008194
https://mariadb.atlassian.net/browse/MDEV-3908