[security-announce] IA: new MySQL packages available

Пн Дек 16 01:38:39 MSK 2002

Stefan Esser из e-matters GmbH обнаружил несколько уязвимостей в широко
распространённом sql-сервере MySQL.

Две из выявленных уязвимостей - это ошибки в коде собственно сервера
MySQL, которые могут быть использованы потенциальным удалённым
злоумышленником для крушения MySQL-сервера. Кроме того, одна из этих
ошибок может быть использована для обхода проверки паролей в MySQL и,
возможно, для получения контроля над процессом mysqld, который по умолчанию
во всех дистрибутивах ALT Linux выполняется в специальной среде
(chroot jail) с правами виртуального пользователя mysql.

Другие две из выявленных уязвимостей - управляемое переполнение (heap
overflow) в клиентской библиотеке, и ещё одна ошибка, приводящая к
возможности попытки записи '\0' по любому адресу. Эти уязвимости
позволяют потенциальному удалённому злоумышленнику с помощью специальным
образом модифицированного MySQL-сервера организовать атаки на
MySQL-клиентов, от отказов в обслуживании до, возможно, получения контроля
над процессом.

С подробной информацией о найденных уязвимостях можно ознакомится по
адресу
http://security.e-matters.de/advisories/042002.html

Мы рекомендуем всем пользователям MySQL (сервера, клиента или клиентской
библиотеки) произвести обновление до версий пакетов, в которых указанные
уязвимости исправлены.

Обновления для дистрибутивов ALT Linux, в состав которых входят пакеты,
подверженные уязвимостям, о которых шла речь выше, доступны по следующим
адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://updates.altlinux.com/Spring2001/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://updates.altlinux.com/Castle/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для дистрибутива ALT Linux Master 2.0:
ftp://updates.altlinux.com/Master/2.0/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для пользователей репозитария ALT Linux Sisyphus обновления доступны обычным образом.

Обновление можно проводить автоматически с помощью apt-get, как по
адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download

--
ALT Security Team
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/security-announce/attachments/20021216/e636ee69/attachment-0003.bin>