Рекомендация Debian по безопасности

DSA-2581-1 mysql-5.1 -- несколько уязвимостей

Дата сообщения:
04.12.2012
Затронутые пакеты:
mysql-5.1
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 690778, Ошибка 695001.
В каталоге Mitre CVE: CVE-2012-3150, CVE-2012-3158, CVE-2012-3160, CVE-2012-3163, CVE-2012-3166, CVE-2012-3167, CVE-2012-3173, CVE-2012-3177, CVE-2012-3180, CVE-2012-3197, CVE-2012-5611.
Более подробная информация:

В сервер баз данных MySQL были обнаружены несколько уязвимостей. Уязвимости были исправлены путём обновления MySQL до новой версии из основной ветки разработки, 5.1.66, которая включает в себя и другие изменения, такие как улучшение производительности и исправления дефектов, приводящих к потере данных. Эти изменения описаны в информации о выпуске MySQL.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 5.5.28+dfsg-1.

Кроме того, в данной загрузке была исправлена уязвимость CVE-2012-5611. Эта уязвимость (обнаружена независимо Томасом Хогером из команды Red Hat Security Response и king cope) заключается в переполнении стека в функции acl_get() при проверке пользовательского доступа к базе данных. Используя специально сформированное имя базы данных, уже авторизованный пользователь MySQL может вызвать аварийное завершение работы сервера или даже выполнить произвольный код от лица системного пользователя mysql.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 5.1.66-0+squeeze1.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты mysql-5.1.