2007年3月31日にMySQLの脆弱性情報が公開されました。
対応が必要か検討してください。
------------ 本脆弱性情報は、同時期に公開された複数の脆弱性について、まとめて解説したものです。タイトル以外の他の脆弱性情報の内容が含まれていますので予めご了承ください。 ------------ MySQL 4.0.23 以前、4.1.10 以前には、以下の複数のセキュリティ上の問題が存在します。 ・ユーザ定義関数の取り扱いに不備が存在し、mysql データベースに対して INSERT および DELETE の実行権限を持つユーザは、CREATE FUNCTION ステートメントより libc 関数 (strcat、on_exit、exit など) を使用することで、メモリアドレスを任意の値で上書き可能な問題 (CAN-2005-0709) ・mysql.func システムテーブルよりユーザ定義関数をロードする際に、参照するオブジェクトファイルのパスの検証が不適切であるため、mysql データベースに対して INSERT および DELETE の実行権限を持つユーザが任意のディレクトリにあるオブジェクトファイルを参照する関数を作成可能な問題 (CAN-2005-0710) ・CREATE TEMPORARY TABLE ステートメントにおいて、セキュリティ上不適切な方法で一時ファイルを作成してしまう不備が存在するため、シンボリックリンク攻撃を受ける問題 (CAN-2005-0711) これらの問題を利用するローカルの攻撃者は、結果として、シンボリックリンク攻撃を行う、あるいは mysqld プロセスの権限で任意のコードを実行できる可能性があります。
製品：MySQL
企業：MySQL AB
CVSS v2
CVSS v3

参考：CVSSの深刻度レベル

スコア	CVSS v2	CVSS v3
9.0～10.0	危険	緊急
7.0～8.9	危険	重要
4.0～6.9	警告	警告
0.1～3.9	注意	注意
0	注意	なし

JVN JVNDB-2005-000180
https://jvndb.jvn.jp/ja/contents/2005/JVNDB-2005-000180.html
CVE CVE-2005-0710
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-0710
NVD CVE-2005-0710
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2005-0710
SECUNIA SA14547
http://secunia.com/advisories/14547/
BID 12781
http://www.securityfocus.com/bid/12781
SECTRACK 1013415
http://securitytracker.com/alerts/2005/Mar/1013415.html
SECTRACK 1013414
http://securitytracker.com/alerts/2005/Mar/1013414.html
SECTRACK 1013413
http://securitytracker.com/alerts/2005/Mar/1013413.html
K-OTIK KOTIK/ADV-2005-0252
http://www.k-otik.com/english/advisories/2005/0252
登録日
2007/03/31 15:00:00
最終更新日
2007/03/31 15:00:00
もっと見る >>