Проблема была обнаружена на сервере MariaDB до 11.4.10, с 11.5.x по 11.8.x до 11.8.6 и с 12.x до 12.2.2. Если установлен плагин аутентификации caching_sha2_password и некоторые учетные записи пользователей настроены на его использование, большой пакет может привести к сбою сервера, поскольку sha256_crypt_r использует alloca.
Показать оригинальное описание (EN)
An issue was discovered in MariaDB Server before 11.4.10, 11.5.x through 11.8.x before 11.8.6, and 12.x before 12.2.2. If the caching_sha2_password authentication plugin is installed, and some user accounts are configured to use it, a large packet can crash the server because sha256_crypt_r uses alloca.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1