Debians sikkerhedsbulletin

DSA-2496-1 mysql-5.1 -- flere sårbarheder

Rapporteret den:
18. jun 2012
Berørte pakker:
mysql-5.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 670636, Fejl 677018.
I Mitres CVE-ordbog: CVE-2012-0540, CVE-2012-0583, CVE-2012-1688, CVE-2012-1689, CVE-2012-1690, CVE-2012-1703, CVE-2012-1734, CVE-2012-2102, CVE-2012-2122, CVE-2012-2749.
Yderligere oplysninger:

På grund af at Oracle ikke oplyser om sikkerhedspatches, er vi nødt til at levere en opstrømsversionsopdatering af MySQL 5.1. Der er flere kendte inkompatible ændringer, som er opremset i /usr/share/doc/mysql-server/NEWS.Debian.gz.

Flere problemer er opdaget i databaseserveren MySQL. Sårbarhederne løses ved at opgradere MySQL til en ny opstrømsversion, 5.1.63, som indeholder yderligere ændringer, så som forbedringer i forbindelse med ydedygtigheden og rettelser af fejl i forbindelse med datatab. Disse ændringer er beskrevet i MySQL's udgivelsesbemærkninger.

CVE-2012-2122, en sårbarhed i forbindelse med omgåelse af autentifikation opstår kun når MySQL er blevet opbygget samtidig med at visse optimeringer er aktiveret. Pakkerne i Debian stable (squeeze) vides ikke at være påvirket af denne sårbarhed. Dog løses problemet ikke desto mindre med denne opdatering, så fremtidige genopbygninger ikke bliver sårbare over for problemet.

I den stabile distribution (squeeze), er disse problemer rettet i version 5.1.63-0+squeeze1.

I distributionen testing (wheezy), er disse problemer rettet i version 5.1.62-1 af pakken mysql-5.1 og i version 5.5.24+dfsg-1 af pakken mysql-5.5.

Vi anbefaler at du opgraderer dine MySQL-pakker.