Debians sikkerhedsbulletin

DSA-2581-1 mysql-5.1 -- flere sårbarheder

Rapporteret den:
4. dec 2012
Berørte pakker:
mysql-5.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 690778, Fejl 695001.
I Mitres CVE-ordbog: CVE-2012-3150, CVE-2012-3158, CVE-2012-3160, CVE-2012-3163, CVE-2012-3166, CVE-2012-3167, CVE-2012-3173, CVE-2012-3177, CVE-2012-3180, CVE-2012-3197, CVE-2012-5611.
Yderligere oplysninger:

Flere problemer er opdaget i databaseserveren MySQL. Sårbarhederne løses ved at opgradere MySQL til en ny opstrømsversion, 5.1.66, som indeholder yderligere ændringer, så som forbedringer af ydeevnen og rettelser af fejl i forbindelse med datatab. Ændringerne er beskrevet i udgivelsesbemærkningerne til MySQL.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 5.5.28+dfsg-1.

Desuden er CVE-2012-5611 blevet rettet i forbindelse med opdateringen. Sårbarheden (opdaget uafhængigt af Tomas Hoger fra Red Hat Security Response Team og king cope) var et stakbaseret bufferoverløb i acl_get(), når brugeradgang til en database blev kontrolleret. Med brug af et omhyggeligt fabrikeret databasenavn, kunne en allerede autentificeret MySQL-bruger få serveren til at gå ned eller endda udføre vilkårlig kode som systembrugeren mysql.

I den stabile distribution (squeeze), er dette problem rettet i version 5.1.66-0+squeeze1.

I distributionen testing (wheezy) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine mysql-5.1-pakker.