JVNDB-2010-002743

MySQL の sql/spatial.cc におけるサービス運用妨害 (DoS) の脆弱性

MySQL の Gis_line_string::init_from_wkb 関数内にある sql/spatial.cc には、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

MySQL AB

• MySQL 5.1.51 未満

ターボリナックス

• Turbolinux Appliance Server 2.0  
• Turbolinux Appliance Server 3.0  
• Turbolinux Appliance Server 3.0 (x64) 
• Turbolinux Client 2008 
• Turbolinux FUJI (延長メンテナンス)
• Turbolinux Server 10  (延長メンテナンス)
• Turbolinux Server 10 (x64) (延長メンテナンス)
• Turbolinux Server 11  
• Turbolinux Server 11 (x64) 

ミラクル・リナックス

• Asianux Server 3 (x86) 
• Asianux Server 3 (x86-64) 
• Asianux Server 4.0 
• Asianux Server 4.0 (x86-64) 

レッドハット

• Red Hat Enterprise Linux 5 (server) 
• Red Hat Enterprise Linux 4 (as) 
• Red Hat Enterprise Linux 4.8 (as) 
• Red Hat Enterprise Linux 4 (es) 
• Red Hat Enterprise Linux 4.8 (es) 
• Red Hat Enterprise Linux 4 (ws) 
• Red Hat Enterprise Linux Desktop 6 
• Red Hat Enterprise Linux Desktop 5.0 (client) 
• Red Hat Enterprise Linux Desktop 4.0 
• Red Hat Enterprise Linux HPC Node 6 
• Red Hat Enterprise Linux Server 6 
• Red Hat Enterprise Linux Workstation 6 
• RHEL Desktop Workstation 5 (client) 

リモート認証されたユーザにより、巧妙に細工された line string または line point の数を含む Well-Known Binary (WKB) データでの PolyFromWKB 関数の呼び出しを介して、サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

MySQL AB

• MySQL : 51875
• MySQL Documentation : Changes in MySQL 5.1.51

ターボリナックス

• Turbolinux Security Advisory : TLSA-2011-3

ミラクル・リナックス

• Asianux Technical Support Network : mysql-5.0.77-4.4.0.1.AXS3
• MIRACLE LINUX アップデート情報 : 2152

レッドハット

• Red Hat Security Advisory : RHSA-2010:0824
• Red Hat Security Advisory : RHSA-2010:0825
• Red Hat Security Advisory : RHSA-2011:0164

1. その他(CWE-Other) [NVD評価]

1. CVE-2010-3840

1. National Vulnerability Database (NVD) : CVE-2010-3840
2. Secunia Advisory : SA42936
3. SecurityFocus : 43676
4. VUPEN Security : VUPEN/ADV-2011-0170

• [2011年02月08日]
    掲載
  [2011年02月25日]
    影響を受けるシステム：ターボリナックス (TLSA-2011-3) の情報を追加
    ベンダ情報：ターボリナックス (TLSA-2011-3) を追加