Рекомендация Debian по безопасности

DSA-2818-1 mysql-5.5 -- несколько уязвимостей

Дата сообщения:
16.12.2013
Затронутые пакеты:
mysql-5.5
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 711600, Ошибка 732306.
В каталоге Mitre CVE: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807.
Более подробная информация:

В сервере баз данных MySQL были обнаружены несколько уязвимостей. Уязвимости сопутствуют обновлению MySQL до новой версии из основной ветки разработки, 5.5.33, которая включает в себя дополнительные изменения, такие как улучшения производительности, исправления ошибок, новые возможности и возможно несовместимые изменения. Для дополнительной информации обратитесь к документу MySQL 5.5 Release Notes:

Кроме того, данное обновление исправляет две проблемы, затрагивавшие конкретно Debian-пакет mysql-5.5:

Состояние гонки в постустановочном сценарии пакета mysql-server-5.5 создаёт файл настройки /etc/mysql/debian.cnf с правами на чтение для любого пользователя до момента ограничения прав доступа, что позволяет локальным пользователям читать файл и получать важную информацию, такую как данные для доступа debian-sys-maint для выполнения административных задач. (CVE-2013-2162)

Матиас Райхль сообщил, что в пакете mysql-5.5 отсутствуют заплаты, которые применялись в пакете mysql-5.1 для удаления базы данных test и исправления прав доступа, которые разрешали анонимный доступ без пароля с локального компьютера к базе данных test и любой базе данных, начинающейся с test_. Данное обновление вновь содержит указанные заплаты для пакета mysql-5.5

Существующие базы данных и права доступа не изменяются. Для получения дополнительной информации обратитесь к файлу NEWS, содержащемуся в данном обновлении.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 5.5.33+dfsg-0+wheezy1.

В нестабильном выпуске (sid) проблемы, связанные непосредственно с Debian, будут исправлены позже.

Мы рекомендуем вам обновить ваши пакеты mysql-5.5.