LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2014 / Informations sur la sécurité -- DLA-75-1 mysql-5.1

Bulletin d'alerte Debian

DLA-75-1 mysql-5.1 -- Mise à jour de sécurité pour LTS

Date du rapport :

22 octobre 2014

Paquets concernés :

mysql-5.1

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-2162, CVE-2014-0001, CVE-2014-4274.

Plus de précisions :

Cette mise à jour corrige une importante vulnérabilité (CVE-2014-4274) et regroupe deux autres corrections mineures (CVE-2013-2162, CVE-2014-0001).

• CVE-2014-4274

  Traitement non sécurisé d’un fichier temporaire pouvant conduire à l’exécution de code arbitraire à l’aide de la création d’un fichier de configuration mysql pointant vers un plugin_dir contrôlé par l’attaquant.

• CVE-2013-2162

  Création non sécurisée d’un fichier d’accréditations debian.cnf. L’accréditation pourrait être dérobée par un utilisateur local surveillant ce fichier lors de l’installation du paquet.

• CVE-2014-0001

  Débordement de tampon dans le client de MySQL lorsque le serveur envoie une chaîne de version trop grande pour le tampon alloué.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans mysql-5.1, version 5.1.73-1+deb6u1.