BDU:2025-06571
Novell Inc., ООО «Ред Софт», Red Hat Inc., Сообщество свободного программного обеспечения, MariaDB F SUSE Manager Retail Branch Server, Red Hat Enterprise Linux, SUSE Enterprise Storage, SUSE Linux Ent
2023-09-04
Уязвимость функций make_aggr_tables_info и optimize_stage2 системы управления базами данных MariaDB связана с неправильным порядком поведения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Компенсирующие меры: - ограничение прав пользователей, только администраторы базы данных должны иметь возможность добавлять или изменять пользовательские функции, роли пользователей должны исключать возможности добавления или вызова UDF без необходимости; - отключение поддержки пользовательских функций, удалив каталог плагинов из конфигурации MariaDB или наложив ограничения на использование UDF; - ограничить предоставление привилегий SUPER и FILE обычным пользователям, так как они требуются для создания и использования пользовательских функций; - запрет использования системных команд внутри UDF; - ограничение доступа к каталогу плагинов MariaDB (определяемого переменной @@plugin_dir).
Использование рекомендаций: Для MariaDB: https://jira.mariadb.org/browse/MDEV-32082
Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2023-52969
Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2023-52969.html
Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2023-52969
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-mariadb-cve-2023-52968/?sphrase_id=966136