Debians sikkerhedsbulletin
DSA-2581-1 mysql-5.1 -- flere sårbarheder
- Rapporteret den:
- 4. dec 2012
- Berørte pakker:
- mysql-5.1
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 690778, Fejl 695001.
I Mitres CVE-ordbog: CVE-2012-3150, CVE-2012-3158, CVE-2012-3160, CVE-2012-3163, CVE-2012-3166, CVE-2012-3167, CVE-2012-3173, CVE-2012-3177, CVE-2012-3180, CVE-2012-3197, CVE-2012-5611. - Yderligere oplysninger:
-
Flere problemer er opdaget i databaseserveren MySQL. Sårbarhederne løses ved at opgradere MySQL til en ny opstrømsversion, 5.1.66, som indeholder yderligere ændringer, så som forbedringer af ydeevnen og rettelser af fejl i forbindelse med datatab. Ændringerne er beskrevet i udgivelsesbemærkningerne til MySQL.
I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 5.5.28+dfsg-1.
Desuden er CVE-2012-5611 blevet rettet i forbindelse med opdateringen. Sårbarheden (opdaget uafhængigt af Tomas Hoger fra Red Hat Security Response Team og
king cope
) var et stakbaseret bufferoverløb i acl_get(), når brugeradgang til en database blev kontrolleret. Med brug af et omhyggeligt fabrikeret databasenavn, kunne en allerede autentificeret MySQL-bruger få serveren til at gå ned eller endda udføre vilkårlig kode som systembrugeren mysql.I den stabile distribution (squeeze), er dette problem rettet i version 5.1.66-0+squeeze1.
I distributionen testing (wheezy) og i den ustabile distribution (sid), vil dette problem snart blive rettet.
Vi anbefaler at du opgraderer dine mysql-5.1-pakker.