Debians sikkerhedsbulletin

DSA-2818-1 mysql-5.5 -- flere sårbarheder

Rapporteret den:
16. dec 2013
Berørte pakker:
mysql-5.5
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 711600, Fejl 732306.
I Mitres CVE-ordbog: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807.
Yderligere oplysninger:

Flere problemer er opdaget i databaseserveren MySQL. Sårbarhederne er løst ved at opgradere MySQL til en ny opstrømsversion, 5.5.33, som indeholder andre ændringer, så som ydelsesforbedringer, fejlrettelse, ny funktionalitet samt muligvis ikke-kompatible ændringer. Se MySQL 5.5 Release Notes for flere oplysninger:

Desuden retter opdateringen to problemer, som specifikt påvirker Debians mysql-5.5-pakke:

En kapløbstilstand i postinstalleringskriptet fra mysql-server-5.5-pakken, oprettede opsætningsfilen /etc/mysql/debian.cnf med rettigheder, som gør filen læsbar for alle, før rettighedernes begrænses, hvilket gjorde det muligt for lokale brugere at læse filen og få adgang til følsomme oplysningeer, så som brugeroplysningerne til debian-sys-maint, til udførelse af administrative opgaver. (CVE-2013-2162)

Matthias Reichl rapporterede at mysql-5.5-pakken mangler rettelserne, som tidligere blev udført på Debians mysql-5.1, som smider databasen test væk, samt fjerner rettighederne, som tillader anonym adgang uden en adgangskode, fra localhost til test-databasen og enhver database hvis navn begynder med test_. Opdateringen indfører rettelserne i mysql-5.5-pakken.

Eksisterende databaser og rettigheder berørers ikke. Se NEWS-filen, som følger med opdateringen, for flere oplysninger.

I den stabile distribution (wheezy), er disse problemer rettet i version 5.5.33+dfsg-0+wheezy1.

I den ustabile distribution (sid), vil de Debian-specifikke problemer snart blive rettet.

Vi anbefaler at du opgraderer dine mysql-5.5-pakker.