Информация по безопасности / 2012 / Информация о безопасности -- DSA-2496-1 mysql-5.1

Рекомендация Debian по безопасности

DSA-2496-1 mysql-5.1 -- несколько уязвимостей

Дата сообщения:

18.06.2012

Затронутые пакеты:

mysql-5.1

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 670636, Ошибка 677018.
В каталоге Mitre CVE: CVE-2012-0540, CVE-2012-0583, CVE-2012-1688, CVE-2012-1689, CVE-2012-1690, CVE-2012-1703, CVE-2012-1734, CVE-2012-2102, CVE-2012-2122, CVE-2012-2749.

Более подробная информация:

Из-за того, что Oracle не раскрывает заплаты безопасности, мы вынуждены поставлять обновление версии MySQL 5.1 из основной ветки разработки. В нём имеется несколько изменений, нарушающих совместимость с предыдущими версиями, и которые приводятся в файле /usr/share/doc/mysql-server/NEWS.Debian.gz.

В сервере баз данных MySQL было обнаружено несколько проблем. Эти уязвимости исправлены путём обновления MySQL до новой версии из основной ветки разработки, 5.1.63, которая содержит дополнительные изменения, такие как улучшения производительности и исправления проблем с потерей данных. Эти изменения описываются в информации о выпуске MySQL.

CVE-2012-2122, обход аутентификации, ошибка возникает только в том случае, если MySQL собран с определёнными оптимизациями. Пакеты в стабильном выпуске Debian (squeeze) не подвержены этой уязвимости. Тем не менее, она всё равно исправлена в данном обновлении, поэтому будущие повторные сборки не будут уязвимыми.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 5.1.63-0+squeeze1.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 5.1.62-1 пакета mysql-5.1 и в версии 5.5.24+dfsg-1 пакета mysql-5.5.

Рекомендуется обновить пакеты MySQL.