Debian Long Term Support / LTS Security Information / 2014 / セキュリティ情報 -- DLA-75-1 mysql-5.1

Debian セキュリティ勧告

DLA-75-1 mysql-5.1 -- LTS セキュリティ更新

報告日時:

2014-10-22

影響を受けるパッケージ:

mysql-5.1

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-2162, CVE-2014-0001, CVE-2014-4274.

詳細:

この更新では重大な脆弱性1件 (CVE-2014-4274) 他の些細な修正2件 (CVE-2013-2162、CVE-2014-0001) をまとめて修正しています。

• CVE-2014-4274

  一時ファイルの不安全な処理のため、 攻撃者の制御下にあるプラグインディレクトリを指す mysql 設定ファイルの作成を経由して任意のコードの実行につながる可能性があります。

• CVE-2013-2162

  debian.cnf 資格情報ファイルの安全でない作成。 パッケージのインストール時にこのファイルを監視しているローカルユーザにより、 資格情報を盗聴される可能性があります。

• CVE-2014-0001

  割り当てられたバッファにとって大きすぎるバージョン文字列をサーバが送ってきた場合に MySQL クライアントはバッファオーバーランを起こします。

Debian 6Squeezeでは、この問題は mysql-5.1 バージョン 5.1.73-1+deb6u1 で修正されています。