Bulletin d'alerte Debian

DSA-2818-1 mysql-5.5 -- Plusieurs vulnérabilités

Date du rapport :
16 décembre 2013
Paquets concernés :
mysql-5.5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 711600, Bogue 732306.
Dans le dictionnaire CVE du Mitre : CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807.
Plus de précisions :

Plusieurs problèmes ont été découverts dans le serveur de bases de données MySQL. Ces vulnérabilités sont corrigées en mettant MySQL à niveau vers une nouvelle version amont, 5.5.33, qui fournit des modifications supplémentaires, comme des améliorations de performances, des corrections de bogues, de nouvelles fonctionnalités et éventuellement des changements incompatibles. Veuillez lire les notes de publication de MySQL 5.5 pour de plus amples informations :

De plus, cette mise à jour corrige deux problèmes affectant spécifiquement le paquet Debian mysql-5.5 :

Une situation de compétition dans le script de post-installation du paquet mysql-server-5.5 crée le fichier de configuration /etc/mysql/debian.cnf lisible par tous avant de restreindre les droits. Cela permet aux utilisateurs locaux de lire le fichier et obtenir des informations sensibles telles que les identifiants de l'administrateur système pour réaliser des tâches d'administration. (CVE-2013-2162)

Matthias Reichl a signalé que le paquet mysql-5.5 n'inclut pas les correctifs appliqués précédemment dans le paquet mysql-5.1 pour retirer la base de données test et les droits permettant un accès anonyme, sans mot de passe, à partir de localhost vers la base test ou toute base dont le nom commence par test_. Cette mise à jour réintroduit ces correctifs pour le paquet mysql-5.5.

Les bases et permissions existantes ne sont pas modifiées. Veuillez consulter le fichier NEWS fourni avec cette mise à jour pour de plus amples informations.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.5.33+dfsg-0+wheezy1.

Pour la distribution unstable (Sid), les problèmes spécifiques à Debian seront bientôt corrigés.

Nous vous recommandons de mettre à jour vos paquets mysql-5.5.