Säkerhetsbulletin från Debian

DSA-2818-1 mysql-5.5 -- flera sårbarheter

Rapporterat den:
2013-12-16
Berörda paket:
mysql-5.5
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 711600, Fel 732306.
I Mitres CVE-förteckning: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807.
Ytterligare information:

Flera problem har upptäckts i databasservern MySQL. Sårbarheterna har behandlats genom att uppgradera MySQL till en ny uppströmsversion, 5.5.33, som inkluderar ytterligare förändringar, så som prestandaförbättringar, felrättningar, ny funktionalitet, och möjligen inkompatibla förändringar. Vänligen se versionsfaktan för MySQL 5.5 för ytterligare detailjer:

Utöver detta rättar denna uppdatering två problem som specifikt påverkar Debianpaketet mysql-5.5:

En kapplöpningseffekt i post-installationsskriptet från paketet mysql-server-5.5 skapar konfigurationsfilen /etc/mysql/debian.cnf med läsrättigheter för alla innan den begränsar rättigheterna, vilket kan tillåta lokala användare att läsa filen, och få tag på känslig information så som användarinformation för Debian-systemadministratören för att utföra administrationsuppgifter. (CVE-2013-2162)

Matthias Reichl rapporterade att paketet mysql-5.5 saknar patcharna som tidigare applicerades på Debian's mysql-5.1 för att droppa databasen test och rättigheterna för att tillåta anonym åtkomst, utan lösenord, från localhost till test-databasen och alla databaser som börjar med test_. Denna uppdatering återintroducerar dessa patchar för paketet mysql-5.5.

Existerande databaser och rättighter påverkas inte. Vänligen referera till filen NEWS som tillhandahålls med denna uppdatering för mer information.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.5.33+dfsg-0+wheezy1.

För den instabila utgåvan (Sid), kommer de Debian-specifika problemen att rättas inom kort.

Vi rekommenderar att ni uppgraderar era mysql-5.5-paket.