更新程式／弱點資訊－MySQL

更新程式
MySQL
廠商釋出MySQL 5.0.21版以修正5.0.20以前版本被發現的緩衝區溢位漏洞，這個溢位問題是出在Com-table-dump功能上，攻擊者只要能以普通帳號認證登錄進MySQL資料庫，就能利用此漏洞在伺服器上執行任意指令。MySQL 5.0.20以前版本均受此漏洞影響。

Mozilla FireFox
Mozilla公司緊急發布針對FireFox瀏覽器1.5.0.2版一個Zero-Day攻擊漏洞的修補程式，該漏洞可讓攻擊者透過惡意的Javascript癱瘓瀏覽器。

Cisco Unity Express
Cisco的Unity IP語音服務產品在對用戶認證的處理上存在非法提昇權限的漏洞，由於Cisco Unity在處理HTTP管理介面的認證過程中存在問題，只要用戶的密碼被標記為已過期，則已通過認證的一般用戶即可透過HTTP介面來修改這個用戶密碼，攻擊者將能藉此獲取設備的管理員權限。

Linux Kernel
Linux Kernel發布新的2.6.16.13版，修正SCTP-netfilter、CIFS CHRoot等功能的漏洞。首先是SCTP-netfilter的for_each_sctp_chunk（）函數存在一個閉環漏洞，遠端攻擊者可透過發送帶有無效區塊大小資料的特殊SCTP報文，使模組進入閉環，消耗系統處理器資源以誘發拒絕服務攻擊的發生。其次是SMBFS檔案系統在處理CHRoot時存在漏洞，攻擊者可繞過CHRoot的限制非法提昇權限，存取系統的任何資源。SCTP-netfilter的漏洞存在於2.6.16.12版以前的系統，而CHRoot則影響2.6.16.10以前版本。


弱點資訊
Oracle
網路安全組織Red-Database-Security發布多個關於Oracle產品的安全通報，涵蓋了Oracle Database、Secure Enterprise Search、HTMLDB、TNS Listener 10g、Import、Workflow、 JDeveloper、Developer Tools for Visual Studio .NET、 Discoverer、Oracle Reports和XMLDB等產品。這些漏洞均已向Oracle通報，目前尚未有修補程式。