Säkerhetsbulletin från Debian

DSA-2581-1 mysql-5.1 -- flera sårbarheter

Rapporterat den:
2012-12-04
Berörda paket:
mysql-5.1
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 690778, Fel 695001.
I Mitres CVE-förteckning: CVE-2012-3150, CVE-2012-3158, CVE-2012-3160, CVE-2012-3163, CVE-2012-3166, CVE-2012-3167, CVE-2012-3173, CVE-2012-3177, CVE-2012-3180, CVE-2012-3197, CVE-2012-5611.
Ytterligare information:

Flera sårbarheter har upptäckts i databasservern MySQL. Sårbarheterna adresseras genom att uppgradera MySQL till en ny uppströmsversion, 5.1.66, som innehåller ytterligare förändringar, så som prestandaförbättringar och korrigeringar för defekter som ger dataförluster. Dessa förändringar beskrivs i versionsfakta för MySQL.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har dessa problem rättats i version 5.5.28+dfsg-1.

Utöver detta har CVE-2012-5611 rättats i denna uppladdning. Sårbarheten (som upptäcktes oberoende av Tomas Hoger från Red Hats säkerhetsreponsgrupp och king cope) är ett stack-baserat buffertspill i acl_get() vid kontroll av användaråtkomst till en databas. Genom att använda ett försiktigt skapat databasnamn kunde en redan autentiserad MySQL-användare få databasen att krascha eller till och med exekvera godtycklig kod som användaren av mysql-systemet.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 5.1.66-0+squeeze1.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), kommer detta problem att rättas snart.

Vi rekommenderar att ni uppgraderar era mysql-5.1-paket.