Уязвимость функций make_aggr_tables_info и optimize_stage2 системы управления базами данных MariaDB связана с неправильным порядком поведения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Компенсирующие меры:
- ограничение прав пользователей, только администраторы базы данных должны иметь возможность добавлять или изменять пользовательские функции, роли пользователей должны исключать возможности добавления или вызова UDF без необходимости;
- отключение поддержки пользовательских функций, удалив каталог плагинов из конфигурации MariaDB или наложив ограничения на использование UDF;
- ограничить предоставление привилегий SUPER и FILE обычным пользователям, так как они требуются для создания и использования пользовательских функций;
- запрет использования системных команд внутри UDF;
- ограничение доступа к каталогу плагинов MariaDB (определяемого переменной @@plugin_dir).
Использование рекомендаций:
Для MariaDB:
https://jira.mariadb.org/browse/MDEV-32082
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-52969
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-52969.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-52969
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-mariadb-cve-2023-52968/?sphrase_id=966136
| Балл | 6.8 — средняя опасность |