MySQL CREATE FUNCTION功能libc函数库允许执行任意代码漏洞

漏洞信息详情

MySQL CREATE FUNCTION功能libc函数库允许执行任意代码漏洞

• CNNVD编号：CNNVD-200505-038
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-0709
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2003-07-18
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2019-10-24
  
• 厂        商：
  
  mysql
• 漏洞来源：
  Stefano Di Paola …

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。

MySQL数据库的CREATE FUNCTION命令用于在MySQL中实现用户自定义函数的管理，MySQL对用户自定义函数的引入和参数使用实现有问题，拥有数据库管理员权限的用户可能利用漏洞在运行MySQL数据库的主机上以MySQL进程的权限执行任意指令。

如果经过认证的用户对MySQL管理数据库\’\’mysql\’\’拥有INSERT和DELETE的权限的话，就可能通过注入畸形的CREATE FUNCTION命令参数，利用libc中的函数获取MySQL进程的执行权限。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.mysql.com/

来源:APPLE

链接:http://lists.apple.com/archives/security-announce/2005/Aug/msg00000.html

来源:APPLE

链接:http://lists.apple.com/archives/security-announce/2005//Aug/msg00001.html

来源:SUNALERT

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-101864-1

来源:VULNWATCH

链接:http://archives.neohapsis.com/archives/vulnwatch/2005-q1/0084.html

来源:GENTOO

链接:http://www.gentoo.org/security/en/glsa/glsa-200503-19.xml

来源:SUSE

链接:http://www.novell.com/linux/security/advisories/2005_19_mysql.html

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2005-348.html

来源:BUGTRAQ

链接:http://marc.info/?l=bugtraq&m=111066115808506&w=2

来源:DEBIAN

链接:https://www.debian.org/security/2005/dsa-707

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2005-334.html

来源:BID

链接:https://www.securityfocus.com/bid/12781

来源:TRUSTIX

链接:http://www.trustix.org/errata/2005/0009/

来源:MANDRAKE

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2005:060

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10479

来源:UBUNTU

链接:https://usn.ubuntu.com/96-1/