certfr_avis - certa-2004-avi-137

CERTA-2004-AVI-137

Vulnerability from certfr_avis

Deux vulnérabilités dans le serveur de base de données MySQL permettent à un utilisateur local mal intentionné de porter atteinte à l'intégrité des données.

Description

MySQL est un serveur de base de données open source. Deux scripts fournis par MySQL, mysqlbug et mysqld_multi, créent des fichiers temporaires de manière non sécurisée. Ceci peut être exploité par un utilisateur local mal intentionné afin d'écraser des fichiers avec les privilèges de l'utilisateur invoquant le serveur MySQL.

Solution

Se référer à la section Documentation pour l'obtention des correctifs.

None

Impacted products

	Vendor	Product	Description
	Oracle	MySQL	MySQL version 4.0.18 et versions antérieures.
	Oracle	MySQL	MySQL version 3.23.58 et versions antérieures ;

References

Title

Publication Time

Tags

Avis de sécurité Mandrake MDKSA-2004:034	None	vendor-advisory
Avis de sécurité FreeBSD du 15 avril 2004 :	-	other
Site Internet de MySQL :	-	other
Avis de sécurité Debian du 14 avril 2004 :	-	other
Avis de sécurité pour le paquetage OpenBSD mysql du 15 avril 2004 :	-	other
Avis de sécurité Gentoo GLSA 200405-20 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "MySQL version 4.0.18 et versions ant\u00e9rieures.",
      "product": {
        "name": "MySQL",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "MySQL version 3.23.58 et versions ant\u00e9rieures ;",
      "product": {
        "name": "MySQL",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nMySQL est un serveur de base de donn\u00e9es open source. Deux scripts\nfournis par MySQL, mysqlbug et mysqld_multi, cr\u00e9ent des fichiers\ntemporaires de mani\u00e8re non s\u00e9curis\u00e9e. Ceci peut \u00eatre exploit\u00e9 par un\nutilisateur local mal intentionn\u00e9 afin d\u0027\u00e9craser des fichiers avec les\nprivil\u00e8ges de l\u0027utilisateur invoquant le serveur MySQL.\n\n## Solution\n\nSe r\u00e9f\u00e9rer \u00e0 la section Documentation pour l\u0027obtention des correctifs.\n",
  "cves": [],
  "initial_release_date": "2004-04-20T00:00:00",
  "last_revision_date": "2004-05-26T00:00:00",
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 FreeBSD du 15 avril 2004 :",
      "url": "http://www.vuxml.org/freebsd/"
    },
    {
      "title": "Site Internet de MySQL :",
      "url": "http://www.mysql.com"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Debian du 14 avril 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-483.fr.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 pour le paquetage OpenBSD mysql du 15    avril 2004 :",
      "url": "http://www.vuxml.org/openbsd/"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Gentoo GLSA 200405-20 :",
      "url": "http://security.gentoo.org/glsa/glsa-200405-20.xml"
    }
  ],
  "reference": "CERTA-2004-AVI-137",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-04-20T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et OpenBSD.",
      "revision_date": "2004-05-12T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis de s\u00e9curit\u00e9 Gentoo.",
      "revision_date": "2004-05-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s dans le serveur de base de donn\u00e9es MySQL permettent\n\u00e0 un utilisateur local mal intentionn\u00e9 de porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9\ndes donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de MySQL",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:034",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:034"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted