INFSA-2025:1673: Устранение уязвимостей mysql:8.0
Информация о бюллетене
Идентификатор: INFSA-2025:1673
Тип: устранение уязвимостей
Дата публикации: 2025-03-17 13:13:46 UTC
Информация о пакете
MySQL — многопользовательский, многопоточный сервер баз данных SQL. Он состоит из демона сервера MySQL (mysqld) и множества клиентских программ и библиотек.
Описание уязвимостей
- CVE-2024-37371
Уязвимость MIT Kerberos 5 связана с недопустимым чтением памяти во время обработки токена сообщения GSS. Эксплуатация уязвимости может позволить аутентифицированному нарушителю, действующему удалённо, вызвать отказ в обслуживании, отправляя специально созданные токены сообщений.
- CVE-2024-5535
Уязвимость OpenSSL вызвана ошибкой перечитывания буфера в API-функции SSL_select_next_proto при вызове с пустым буфером поддерживаемых клиентских протоколов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызывать отказ в обслуживании или отправить содержимое памяти другому устройству, отправляя специально созданный запрос.
- CVE-2024-11053
Уязвимость обработчика netrc-файлов утилиты командной строки cURL связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к учётным данным при условии HTTP-перенаправления на другой ресурс.
- CVE-2024-21193
Уязвимость компонента Server: PS системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21194
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с ошибками процедуры авторизации в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2024-21196
Уязвимость компонента Server: X Plugin системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием сетевого MySQL-протокола.
- CVE-2024-21197
Уязвимость компонента Server: Information Schema системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием сетевого MySQL-протокола.
- CVE-2024-21198
Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21199
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21201
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21203
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: FTS системы управления базами данных Oracle MySQL Server существует из-за неправильной валидации входных данных в компонентах. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21212
Уязвимость компонента Server: Health Monitor системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2024-21213
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21218
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21219
Уязвимость компонента DML системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21230
Уязвимость компонентов Server: Optimizer и Cluster: General системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21231
Уязвимость компонента Client Programs системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21236
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21237
Уязвимость компонента Group Replication GCS системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21238
Уязвимость компонента Server: Thread Pooling системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21239
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21241
Уязвимость компонента Optimizer системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21247
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных с использованием сетевого протокола MySQL.
- CVE-2024-7264
Уязвимость функции GTime2str парсера ASN1 Parser библиотеки libcurl связана с чтением за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21490
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21491
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21494
Уязвимость компонента Server: Security: Privileges системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.
- CVE-2025-21497
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ на чтение, изменение и удаление данных или вызвать отказ в обслуживании.
- CVE-2025-21500
Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление данных с помощью сетевого протокола MySQL.
- CVE-2025-21501
Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление данных с помощью сетевого протокола MySQL.
- CVE-2025-21503
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать зависание или отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2025-21504
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21505
Уязвимость компонента Server: Components Services системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21518
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21519
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21520
Уязвимость компонента Server: Options в Oracle MySQL Server. Эксплуатация уязвимости может позволить нарушителю оказать незначительное влияние на конфиденциальность данных.
- CVE-2025-21521
Уязвимость компонента Server:Thread Pooling системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21522
Уязвимость компонента Server: Parser системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21523
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21525
Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21529
Уязвимость компонента Server: Information Schema системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21531
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21534
Уязвимость компонента Server: Performance Schema системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21536
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21540
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ при помощи сетевых пакетов.
- CVE-2025-21543
Уязвимость компонента Server: Packaging системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21546
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ при помощи сетевых пакетов.
- CVE-2025-21555
Уязвимость компонента InnoDB системы управления базами данных Oracle Database Server связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить привилегированный доступ, модифицировать данные или вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21559
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2024-11053
БДУ —
BDU:2024-11106
|
нет информации | 5.9 | нет информации |
|
NIST — CVE-2024-21193
БДУ —
BDU:2024-08463
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21194
БДУ —
BDU:2024-08336
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21196
БДУ —
BDU:2024-08605
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-21197
БДУ —
BDU:2024-08604
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21198
БДУ —
BDU:2024-09656
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21199
БДУ —
BDU:2024-09657
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21201
БДУ —
BDU:2024-09674
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21203
БДУ —
BDU:2024-09675
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21212
БДУ —
BDU:2024-09638
|
нет информации | 4.4 | нет информации |
|
NIST — CVE-2024-21213
БДУ —
BDU:2024-08438
|
нет информации | 4.2 | нет информации |
|
NIST — CVE-2024-21218
БДУ —
BDU:2024-08447
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21219
БДУ —
BDU:2024-08448
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21230
БДУ —
BDU:2024-08449
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-21231
БДУ —
BDU:2024-08444
|
нет информации | 3.1 | нет информации |
|
NIST — CVE-2024-21236
БДУ —
BDU:2024-08443
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21237
БДУ —
BDU:2024-08445
|
нет информации | 2.2 | нет информации |
|
NIST — CVE-2024-21238
БДУ —
BDU:2024-08440
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2024-21239
БДУ —
BDU:2024-08437
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21241
БДУ —
BDU:2024-08441
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21247
БДУ —
BDU:2024-08488
|
нет информации | 3.8 | нет информации |
|
NIST — CVE-2024-37371
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-5535
|
нет информации | 5.9 | нет информации |
|
NIST — CVE-2024-7264
БДУ —
BDU:2024-05923
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2025-21490
БДУ —
BDU:2025-00625
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21491
БДУ —
BDU:2025-00624
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21494
БДУ —
BDU:2025-01182
|
нет информации | 4.1 | нет информации |
|
NIST — CVE-2025-21497
БДУ —
BDU:2025-00623
|
нет информации | 5.5 | нет информации |
|
NIST — CVE-2025-21500
БДУ —
BDU:2025-01185
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21501
БДУ —
BDU:2025-01187
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21503
БДУ —
BDU:2025-01186
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21504
БДУ —
BDU:2025-00649
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21505
БДУ —
BDU:2025-00648
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21518
БДУ —
BDU:2025-00658
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21519
БДУ —
BDU:2025-00647
|
нет информации | 4.4 | нет информации |
|
NIST — CVE-2025-21520
|
нет информации | 1.8 | нет информации |
|
NIST — CVE-2025-21521
БДУ —
BDU:2025-01244
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2025-21522
БДУ —
BDU:2025-00638
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21523
БДУ —
BDU:2025-00628
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21525
БДУ —
BDU:2025-00627
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21529
БДУ —
BDU:2025-01279
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21531
БДУ —
BDU:2025-01283
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21534
БДУ —
BDU:2025-01280
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21536
БДУ —
BDU:2025-01281
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21540
БДУ —
BDU:2025-01278
|
нет информации | 5.4 | нет информации |
|
NIST — CVE-2025-21543
БДУ —
BDU:2025-01282
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21546
БДУ —
BDU:2025-01277
|
нет информации | 3.8 | нет информации |
|
NIST — CVE-2025-21555
БДУ —
BDU:2025-01347
|
нет информации | 5.5 | нет информации |
|
NIST — CVE-2025-21559
БДУ —
BDU:2025-01268
|
нет информации | 5.5 | нет информации |
Обновлённые пакеты