INFSA-2025:1671: Устранение уязвимостей mysql
Информация о бюллетене
Идентификатор: INFSA-2025:1671
Тип: устранение уязвимостей
Дата публикации: 2025-03-17 13:17:17 UTC
Информация о пакете
MySQL — многопользовательский, многопоточный сервер баз данных SQL. Он состоит из демона сервера MySQL (mysqld) и множества клиентских программ и библиотек.
Описание уязвимостей
- CVE-2024-37371
Уязвимость MIT Kerberos 5 связана с недопустимым чтением памяти во время обработки токена сообщения GSS. Эксплуатация уязвимости может позволить аутентифицированному нарушителю, действующему удалённо, вызвать отказ в обслуживании, отправляя специально созданные токены сообщений.
- CVE-2024-5535
Уязвимость OpenSSL вызвана ошибкой перечитывания буфера в API-функции SSL_select_next_proto при вызове с пустым буфером поддерживаемых клиентских протоколов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызывать отказ в обслуживании или отправить содержимое памяти другому устройству, отправляя специально созданный запрос.
- CVE-2024-11053
Уязвимость обработчика netrc-файлов утилиты командной строки cURL связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к учётным данным при условии HTTP-перенаправления на другой ресурс.
- CVE-2024-21193
Уязвимость компонента Server: PS системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21194
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с ошибками процедуры авторизации в результате недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2024-21196
Уязвимость компонента Server: X Plugin системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием сетевого MySQL-протокола.
- CVE-2024-21197
Уязвимость компонента Server: Information Schema системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием сетевого MySQL-протокола.
- CVE-2024-21198
Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21199
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21201
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием протокола MySQL.
- CVE-2024-21203
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: FTS системы управления базами данных Oracle MySQL Server существует из-за неправильной валидации входных данных в компонентах. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21212
Уязвимость компонента Server: Health Monitor системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2024-21213
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21218
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21219
Уязвимость компонента DML системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21230
Уязвимость компонентов Server: Optimizer и Cluster: General системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21231
Уязвимость компонента Client Programs системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21236
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21237
Уязвимость компонента Group Replication GCS системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21238
Уязвимость компонента Server: Thread Pooling системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21239
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с использованием MySQL протокола.
- CVE-2024-21241
Уязвимость компонента Optimizer системы управления базами данных Oracle MySQL Server связана с некорректной зачисткой или освобождением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2024-21247
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных с использованием сетевого протокола MySQL.
- CVE-2024-7264
Уязвимость функции GTime2str парсера ASN1 Parser библиотеки libcurl связана с чтением за границами памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21490
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21491
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21494
Уязвимость компонента Server: Security: Privileges системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании.
- CVE-2025-21497
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ на чтение, изменение и удаление данных или вызвать отказ в обслуживании.
- CVE-2025-21500
Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление данных с помощью сетевого протокола MySQL.
- CVE-2025-21501
Уязвимость компонента Server: Optimizer системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации и доступ на изменение, добавление или удаление данных с помощью сетевого протокола MySQL.
- CVE-2025-21503
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать зависание или отказ в обслуживании с помощью сетевого протокола MySQL.
- CVE-2025-21504
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21505
Уязвимость компонента Server: Components Services системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21518
Уязвимость компонента Cluster: General системы управления базами данных MySQL Cluster и компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21519
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21520
Уязвимость компонента Server: Options в Oracle MySQL Server. Эксплуатация уязвимости может позволить нарушителю оказать незначительное влияние на конфиденциальность данных.
- CVE-2025-21521
Уязвимость компонента Server:Thread Pooling системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21522
Уязвимость компонента Server: Parser системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21523
Уязвимость компонента InnoDB системы управления базами данных Oracle MySQL Server связана с недостатками процедуры авторизации в результате некорректной обработки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21525
Уязвимость компонента Server: DDL системы управления базами данных Oracle MySQL Server связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании.
- CVE-2025-21529
Уязвимость компонента Server: Information Schema системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21531
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21534
Уязвимость компонента Server: Performance Schema системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21536
Уязвимость компонента Server: Optimizer системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21540
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ при помощи сетевых пакетов.
- CVE-2025-21543
Уязвимость компонента Server: Packaging системы управления базами данных Oracle MySQL Server связана с исчерпанием ресурсов памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21546
Уязвимость компонента Server: Security: Privileges системы управления базами данных Oracle MySQL Server связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение данных, модифицировать данные или получить привилегированный доступ при помощи сетевых пакетов.
- CVE-2025-21555
Уязвимость компонента InnoDB системы управления базами данных Oracle Database Server связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить привилегированный доступ, модифицировать данные или вызвать отказ в обслуживании при помощи сетевых пакетов.
- CVE-2025-21559
Уязвимость компонента InnoDB системы управления базами данных MySQL Server связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании.
Уровень опасности
| CVE | Оценка CVSS 2.0 | Оценка CVSS 3.x | Оценка CVSS 4.0 |
|---|---|---|---|
|
NIST — CVE-2024-11053
|
нет информации | 5.9 | нет информации |
|
NIST — CVE-2024-21193
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21194
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21196
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-21197
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21198
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21199
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21201
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21203
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21212
|
нет информации | 4.4 | нет информации |
|
NIST — CVE-2024-21213
|
нет информации | 4.2 | нет информации |
|
NIST — CVE-2024-21218
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21219
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21230
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-21231
|
нет информации | 3.1 | нет информации |
|
NIST — CVE-2024-21236
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21237
|
нет информации | 2.2 | нет информации |
|
NIST — CVE-2024-21238
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2024-21239
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21241
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2024-21247
|
нет информации | 3.8 | нет информации |
|
NIST — CVE-2024-37371
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2024-5535
|
нет информации | 5.9 | нет информации |
|
NIST — CVE-2024-7264
|
нет информации | 5.3 | нет информации |
|
NIST — CVE-2025-21490
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21491
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21494
|
нет информации | 4.1 | нет информации |
|
NIST — CVE-2025-21497
|
нет информации | 5.5 | нет информации |
|
NIST — CVE-2025-21500
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21501
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21503
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21504
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21505
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21518
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21519
|
нет информации | 4.4 | нет информации |
|
NIST — CVE-2025-21520
|
нет информации | 1.8 | нет информации |
|
NIST — CVE-2025-21521
|
нет информации | 7.5 | нет информации |
|
NIST — CVE-2025-21522
|
нет информации | 6.5 | нет информации |
|
NIST — CVE-2025-21523
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21525
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21529
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21531
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21534
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21536
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21540
|
нет информации | 5.4 | нет информации |
|
NIST — CVE-2025-21543
|
нет информации | 4.9 | нет информации |
|
NIST — CVE-2025-21546
|
нет информации | 3.8 | нет информации |
|
NIST — CVE-2025-21555
|
нет информации | 5.5 | нет информации |
|
NIST — CVE-2025-21559
|
нет информации | 5.5 | нет информации |
Обновлённые пакеты