Vulnerability-Lookup

CERTA-2004-AVI-137

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités dans le serveur de base de données MySQL permettent à un utilisateur local mal intentionné de porter atteinte à l'intégrité des données.

Description

MySQL est un serveur de base de données open source. Deux scripts fournis par MySQL, mysqlbug et mysqld_multi, créent des fichiers temporaires de manière non sécurisée. Ceci peut être exploité par un utilisateur local mal intentionné afin d'écraser des fichiers avec les privilèges de l'utilisateur invoquant le serveur MySQL.

Solution

Se référer à la section Documentation pour l'obtention des correctifs.

None

Impacted products

	Vendor	Product	Description
	Oracle	MySQL	MySQL version 4.0.18 et versions antérieures.
	Oracle	MySQL	MySQL version 3.23.58 et versions antérieures ;

References

Title

Publication Time

Tags

Avis de sécurité Mandrake MDKSA-2004:034	None	vendor-advisory
Avis de sécurité FreeBSD du 15 avril 2004 :	-	other
Site Internet de MySQL :	-	other
Avis de sécurité Debian du 14 avril 2004 :	-	other
Avis de sécurité pour le paquetage OpenBSD mysql du 15 avril 2004 :	-	other
Avis de sécurité Gentoo GLSA 200405-20 :	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "MySQL version 4.0.18 et versions ant\u00e9rieures.",
      "product": {
        "name": "MySQL",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    },
    {
      "description": "MySQL version 3.23.58 et versions ant\u00e9rieures ;",
      "product": {
        "name": "MySQL",
        "vendor": {
          "name": "Oracle",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nMySQL est un serveur de base de donn\u00e9es open source. Deux scripts\nfournis par MySQL, mysqlbug et mysqld_multi, cr\u00e9ent des fichiers\ntemporaires de mani\u00e8re non s\u00e9curis\u00e9e. Ceci peut \u00eatre exploit\u00e9 par un\nutilisateur local mal intentionn\u00e9 afin d\u0027\u00e9craser des fichiers avec les\nprivil\u00e8ges de l\u0027utilisateur invoquant le serveur MySQL.\n\n## Solution\n\nSe r\u00e9f\u00e9rer \u00e0 la section Documentation pour l\u0027obtention des correctifs.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 FreeBSD du 15 avril 2004 :",
      "url": "http://www.vuxml.org/freebsd/"
    },
    {
      "title": "Site Internet de MySQL :",
      "url": "http://www.mysql.com"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Debian du 14 avril 2004 :",
      "url": "http://www.debian.org/security/2004/dsa-483.fr.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 pour le paquetage OpenBSD mysql du 15    avril 2004 :",
      "url": "http://www.vuxml.org/openbsd/"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 Gentoo GLSA 200405-20 :",
      "url": "http://security.gentoo.org/glsa/glsa-200405-20.xml"
    }
  ],
  "reference": "CERTA-2004-AVI-137",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-04-20T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD et OpenBSD.",
      "revision_date": "2004-05-12T00:00:00.000000"
    },
    {
      "description": "ajout de l\u0027avis de s\u00e9curit\u00e9 Gentoo.",
      "revision_date": "2004-05-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s dans le serveur de base de donn\u00e9es MySQL permettent\n\u00e0 un utilisateur local mal intentionn\u00e9 de porter atteinte \u00e0 l\u0027int\u00e9grit\u00e9\ndes donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9 de MySQL",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 Mandrake MDKSA-2004:034",
      "url": "http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2004:034"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted