Непонятная ситуация с 0-day эксплоитом и 27 уязвимостями в MySQL

В конце января компания Oracle опубликовала сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что в MySQL исправлено 27 уязвимостей. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.
В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике, так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL. Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается первый раз, поэтому непонятно за какой период там собраны уязвимости (написано, что включена информация о всех уязвимостях, исправленных с момента прошлого отчёта, но загвоздка в том, что это первый отчёт). Тем не менее, компания Red Hat вчера выпустила обновление для пакета mysql-5.1.61 из состава RHEL 6, в котором устранено 17 выявленных уязвимостей (Oracle заявляла об исправлении 27). Примечательно, что исправления для Oracle Linux полностью копируют обновление для RHEL без дополнительных правок.
Наиболее вероятно, что в отчёте Oracle опубликованы данные об уязвимостях уже исправленных по мере выхода новых Community-выпусков MySQL. Как правило в корректирующих выпусках устраняется несколько ошибок, позволяющих вызвать крах процесса через выполнение специально оформленного SQL-запроса. Общие данные в отчёте показывают, что большинство упомянутых уязвимостей имеют именно такой характер, т.е. позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Дополнительно одна DoS-уязвимость позволяет вызвать отказ в обслуживании не аутентифицированным пользователем, две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным, одна уязвимость позволяет локальному пользователю поднять свои привилегии.
Производители ответвлений от MySQL, таких как MariaDB, столкнулись с не меньшими трудностями: не понятно проявляются ли данные уязвимости для их веток, связаны ли уязвимости с известными ошибками, уже исправленными в ходе обычного процесса исправления ошибок, или это принципиально новые проблемы. Результаты попыток выяснить подробности у Oracle завершаются советом использовать самые свежие версии MySQL в которых данные уязвимости уже исправлены (судя по всему речь о MySQL Enterprise с последним Critical Patch Update).
Окончательная путаница возникла после появления неподтверждённого заявления об обнаружении в последнем выпуске MySQL 5.5.20 опасной 0-day уязвимости, позволяющей удалённо атаковать MySQL-серверы. Сообщается, что уже создан работающий эксплоит, который успешно работает при использовании на сервере пакета mysql-5.5.20-debian6.0-i686.deb с сайта mysql.com. Подтверждённой информации по данной уязвимости пока нет, также не понятно новая это уязвимость или уязвимость из числа 27 проблем в списке Oracle.