操作系统--麒麟信安操作系统,国产操作系统,麒麟信安云桌面—

公告ID (KylinSec-SA-2024-3551)

摘要:

mysql security update

安全等级: Medium

公告ID: KylinSec-SA-2024-3551

发布日期: 2024年8月2日

关联CVE: CVE-2024-21127 CVE-2024-21130 CVE-2024-21134 CVE-2024-21157 CVE-2024-21160 CVE-2024-21165 CVE-2024-21166 CVE-2024-21177 CVE-2024-21179

详细介绍

1. 漏洞描述

MySQL（TM）软件提供了一个非常快速、多线程、多用户和健壮的SQL（结构化查询语言）数据库服务器。MySQL Server旨在用于关键任务、重负载的生产系统，以及嵌入到大规模部署的软件中。MySQL是Oracle和/或其附属公司的商标

安全修复：

Oracle MySQL的MySQL服务器产品中的漏洞（组件：服务器：DDL）。受影响的支持版本为8.0.37及之前版本和8.4.0及之前版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21127）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：服务器：优化器）。受影响的支持版本为8.0.37及之前版本和8.4.0及之前版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21130）

Oracle MySQL MySQL服务器产品中的漏洞（组件：服务器：连接处理）。受影响的支持版本为8.0.37及之前版本和8.4.0及之前版本。易被利用的漏洞允许低权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能导致未经授权的MySQL服务器部分拒绝服务（部分DOS）。CVSS 3.1基本得分4.3（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L）。（CVE-2024-21134）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：InnoDB）。受影响的支持版本为8.0.36及之前版本和8.4.0及之前版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21157）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：InnoDB）。受影响的支持版本为8.0.36及之前版本和8.3.0及之前版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21160）

Oracle MySQL MySQL服务器产品中的漏洞（组件：服务器：可插拔身份验证）。受影响的支持版本为8.0.37及更早版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21165）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：InnoDB）。受影响的支持版本为8.0.36及之前版本和8.3.0及之前版本。难以利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能导致对关键数据或所有MySQL Server可访问数据的未经授权的创建、删除或修改访问，以及未经授权导致MySQL Server挂起或频繁重复崩溃（完全DOS）的能力。CVSS 3.1基础分数5.9（完整性和可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H）。（CVE-2024-21166）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：服务器：优化器）。受影响的支持版本为8.0.37及之前版本和8.4.0及之前版本。易被利用的漏洞允许低权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数6.5（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21177）

Oracle MySQL的MySQL服务器产品中的漏洞（组件：InnoDB）。受影响的支持版本为8.0.37及之前版本和8.4.0及之前版本。易被利用的漏洞允许高权限攻击者通过多种协议访问网络，从而危害MySQL服务器。成功攻击此漏洞可能会导致MySQL服务器在未经授权的情况下挂起或频繁重复崩溃（完全DOS）。CVSS 3.1基础分数4.9（可用性影响）。CVSS矢量：（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H）。（CVE-2024-21179）

2. 影响范围

cve名称	产品	组件	是否受影响
CVE-2024-21127	KY3.5.2	mysql	Fixed
CVE-2024-21130	KY3.5.2	mysql	Fixed
CVE-2024-21134	KY3.5.2	mysql	Fixed
CVE-2024-21157	KY3.5.2	mysql	Fixed
CVE-2024-21157	KY3.5.2	mysql	Unaffected
CVE-2024-21160	KY3.5.2	mysql	Fixed
CVE-2024-21160	KY3.5.2	mysql	Unaffected
CVE-2024-21165	KY3.5.2	mysql	Fixed
CVE-2024-21166	KY3.5.2	mysql	Fixed
CVE-2024-21166	KY3.5.2	mysql	Unaffected
CVE-2024-21177	KY3.5.2	mysql	Fixed
CVE-2024-21179	KY3.5.2	mysql	Fixed

3. 影响组件

mysql

4. 修复版本

KY3.5.2

软件名称	架构	版本号
mysql-errmsg	x86_64	8.0.38-1.ky3_5
mysql-libs	x86_64	8.0.38-1.ky3_5
mysql-server	x86_64	8.0.38-1.ky3_5
mysql-help	x86_64	8.0.38-1.ky3_5
mysql	x86_64	8.0.38-1.ky3_5
mysql-config	x86_64	8.0.38-1.ky3_5
mysql-test	x86_64	8.0.38-1.ky3_5
mysql-common	x86_64	8.0.38-1.ky3_5
mysql-devel	x86_64	8.0.38-1.ky3_5
mysql-errmsg	aarch64	8.0.38-1.ky3_5
mysql-common	aarch64	8.0.38-1.ky3_5
mysql-libs	aarch64	8.0.38-1.ky3_5
mysql-test	aarch64	8.0.38-1.ky3_5
mysql-help	aarch64	8.0.38-1.ky3_5
mysql-devel	aarch64	8.0.38-1.ky3_5
mysql-server	aarch64	8.0.38-1.ky3_5
mysql	aarch64	8.0.38-1.ky3_5
mysql-config	aarch64	8.0.38-1.ky3_5