Debian セキュリティ勧告

DSA-2818-1 mysql-5.5 -- 複数の脆弱性

報告日時:
2013-12-16
影響を受けるパッケージ:
mysql-5.5
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 711600, バグ 732306.
Mitre の CVE 辞書: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807.
詳細:

複数の問題が MySQL データベースサーバに発見されています。この脆弱性は MySQL を新しい上流バージョン 5.5.33 にアップグレードすることで対処され、 性能改善やバグ修正、新機能等の変更が追加で行われており、 互換性にも変更がある可能性があります。さらなる詳細については MySQL 5.5 リリースノートを見てください:

さらに、この更新では mysql-5.5 Debian パッケージに固有の影響のある問題を2件修正しています:

mysql-server-5.5 パッケージの post-installation スクリプトに競合状態があり、設定ファイル /etc/mysql/debian.cnf を、権限を制限する前に誰からでも読み取れる権限で作成します。 ローカルユーザにファイルの読み取りや、debian-sys-maint の資格情報等の機密情報の取得による管理タスクの実行を許します。(CVE-2013-2162)

Matthias Reichl さんが、mysql-5.5 パッケージには以前に Debian の mysql-5.1 で適用されていたパッチが欠けていることを報告しています。 このパッチはデータベース test と、名前が testtest_ から始まるあらゆるデータベースに対して、 パスワード無しでのローカルホストからの匿名アクセスを許す権限を落とすものでした。 この更新では再び、mysql-5.5 パッケージに対して当該パッチを適用しています。

既存のデータベースや権限は変更されません。 詳細な情報についてはこの更新で提供されている NEWS ファイルを参照してください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 5.5.33+dfsg-0+wheezy1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、Debian 固有のこの問題は近く修正予定です。

直ちに mysql-5.5 パッケージをアップグレードすることを勧めます。