低危 MySQL DBD::mysql up to 4.38 拒绝服务漏洞

CVE编号

CVE-2016-1249

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-02-17

漏洞描述

DBD::mysql是一个MySQL的Perl5数据库接口（Database Interface，DBI）驱动。 DBD :: mysql存在外边界读取信息泄露漏洞。攻击者可以利用此漏洞获取敏感信息。

解决建议

目前厂商已经发布更新，详情请关注厂商主页：https://metacpan.org/pod/DBD::mysql

参考链接
http://cpansearch.perl.org/src/CAPTTOFU/DBD-mysql-4.039/Changes
http://www.openwall.com/lists/oss-security/2016/11/16/1
http://www.securityfocus.com/bid/94350
https://github.com/perl5-dbi/DBD-mysql/commit/793b72b1a0baa5070adacaac0e12fd9...
https://security.gentoo.org/glsa/201701-51

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	perl5-dbi	dbd-mysql	*		Up to (including) 4.038_01
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	debian_10	libdbd-mysql-perl	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	debian_11	libdbd-mysql-perl	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	debian_12	libdbd-mysql-perl	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	debian_sid	libdbd-mysql-perl	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	fedora_23	perl-DBD-MySQL-debuginfo	*		Up to (excluding) 4.033-4.fc23
	运行在以下环境
	系统	fedora_24	perl-DBD-MySQL-debuginfo	*		Up to (excluding) 4.039-1.fc24
	运行在以下环境
	系统	fedora_25	perl-DBD-MySQL-debuginfo	*		Up to (excluding) 4.041-1.fc25
	运行在以下环境
	系统	opensuse_Leap_42.1	perl-DBD-mysql	*		Up to (excluding) 4.021-14.1
	运行在以下环境
	系统	opensuse_Leap_42.2	perl-DBD-mysql	*		Up to (excluding) 4.021-14.1
	运行在以下环境
	系统	suse_11_SP4	perl-DBD-mysql	*		Up to (excluding) 4.008-9.1
	运行在以下环境
	系统	suse_12	perl-DBD-mysql	*		Up to (excluding) 4.021-11
	运行在以下环境
	系统	suse_12_SP1	perl-DBD-mysql	*		Up to (excluding) 4.021-11.1
	运行在以下环境
	系统	suse_12_SP2	perl-DBD-mysql	*		Up to (excluding) 4.021-11.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	libdbd-mysql-perl	*		Up to (excluding) 4.039-1
	运行在以下环境
	系统	ubuntu_18.10	libdbd-mysql-perl	*		Up to (excluding) 4.039-1

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-125	跨界内存读

Exp相关链接

- avd.aliyun.com