Se han descubierto varias vulnerabilidades en MySQL, una conocida base de datos. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
Sergei Golubchik descubrió un problema en la gestión de acceso a bases de datos con nombres similares. Si a un usuario se le conceden privilegios para una base de datos que contenga un guión bajo («_»), el usuario también obtendrá privilegios para otras bases de datos con nombres similares.
Stefano Di Paola descubrió que MySQL permite que los usuarios autenticados remotamente con privilegios INSERT y DELETE ejecuten código arbitrario usando CREATE FUNCTION para acceder a las llamadas de libc.
Stefano Di Paola descubrió que MySQL permite que los usuarios autenticados remotamente con privilegios INSERT y DELETE eludir las restricciones de rutas de bibliotecas y ejecutar bibliotecas arbitrarias usando INSERT INTO para modificar la tabla mysql.func.
Stefano Di Paola descubrió que MySQL usa nombres de archivos predecibles al crear tablas temporales, que permitía a los usuarios locales con privilegio CREATE TEMPORARY TABLE sobreescribir archivos arbitrarios por medio de un ataque de enlaces simbólicos.
Para la distribución estable (woody), estos problemas se han corregido en la versión 3.23.49-8.11.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 4.0.24-5 de mysql-dfsg y en la versión 4.1.10a-6 de mysql-dfsg-4.1.
Le recomendamos que actualice los paquetes de mysql.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.