آسیبپذیری متعددی با شناسههای CVE-2024-20974، CVE-2024-20960 و CVE-2024-20962و CVE-2024-20964 و CVE-2024-20966 و CVE-2024-20968 و CVE-2024-20970 و CVE-2024-20972 و CVE-2024-20976 و CVE-2024-20978 و CVE-2024-20982 و CVE-2024-20984 با میانگین شدت متوسط (4.9) در MySQL Server کشف شده است.
یک مهاجم با بهرهبرداری از این آسیبپذیریها میتواند کنترل MySQL Server را در دست بگیرد و موجب از دسترس خارج شدن و freeze در MySQL Server شود که به عنوان حمله انکار سرویس یا DOS نیز شناخته میشود.
بر اساس بردار حمله این آسیبپذیری(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا دارد (PR: H)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
این آسیبپذیری نسخه 8.0.35 و نسخه های قبل از آن، همچنین نسخه 8.2.0 و نسخه های قبلیMySQL Server را تحتتأثیر قرار میدهد.
توصیههای امنیتی
تاکنون هیچ راهحلی برای رفع کامل این آسیبپذیریها منتشر نشده است.
منبع خبر:
https://www.oracle.com/security-alerts/cpujan2024.html#AppendixMSQL
- 141