CVE-2004-0835
CVSS7.5
发布时间 :2004-11-03 00:00:00
修订时间 :2017-07-10 21:30:31
NMCOEPS    

[原文]MySQL 3.x before 3.23.59, 4.x before 4.0.19, 4.1.x before 4.1.2, and 5.x before 5.0.1, checks the CREATE/INSERT rights of the original table instead of the target table in an ALTER TABLE RENAME operation, which could allow attackers to conduct unauthorized activities.


[CNNVD]MySQL验证用户受限表单访问漏洞(CNNVD-200411-014)

        
        MySQL是一款开放源代码数据库系统。
        MySQL的对'alter table [...] rename [...]'命令没有正确检查目标表的权限,远程攻击者可以利用这个漏洞访问受限制表单。
        Oleksandr Byelkin在5月份报告'alter table [...] rename [...]'命令可以使用旧表代替新表来检查的建立/插入权限,结果可导致用户访问其他受限制的表单。
        

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

cpe:/a:mysql:mysql:3.23.59MySQL MySQL 3.23.59
cpe:/a:mysql:mysql:4.0.21MySQL MySQL 4.0.21

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0835
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-0835
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200411-014
(官方数据源) CNNVD

- 其它链接及资源

http://bugs.mysql.com/bug.php?id=3270
(UNKNOWN)  MISC  http://bugs.mysql.com/bug.php?id=3270
http://distro.conectiva.com.br/atualizacoes/?id=a&anuncio=000892
(UNKNOWN)  CONECTIVA  CLA-2004:892
http://lists.mysql.com/internals/13073
(VENDOR_ADVISORY)  MISC  http://lists.mysql.com/internals/13073
http://securitytracker.com/id?1011606
(UNKNOWN)  SECTRACK  1011606