Debian-Sicherheitsankündigung

DSA-381-1 mysql -- Pufferüberlauf

Datum des Berichts:
13. Sep 2003
Betroffene Pakete:
mysql
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 210403.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 8590.
In Mitres CVE-Verzeichnis: CVE-2003-0780.
Weitere Informationen:

MySQL, ein beliebtes relationale Datenbank-System, enthält eine Pufferüberlauf Bedingung, die von einem Benutzer ausgenutzt werden könnte, der die Berechtigung besitzt, »ALTER TABLE« Befehle auf Tabellen in der »mysql« Datenbank auszuführen. Falls sie erfolgreich ausgenutzt wurde, könnte diese Verwundbarkeit es dem Angreifer erlauben, willkürlichen Code mit den Privilegien des mysqld-Prozesses (in der Voreinstellung der »mysql« Benutzer) auszuführen. Da die »mysql« Datenbank für MySQLs interne Aufzeichnungen verwendet wird, ist in der Voreinstellung der MySQL-Administrator »root« der einzige Benutzer mit Berechtigung, dessen Tabelle zu verändern.

Für die stable Distribution (Woody) wurde dieses Problem in Version 3.23.49-8.5 behoben.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben sein. Beobachten Sie dazu den Debian Fehlerbericht #210403.

Wir empfehlen Ihnen, Ihr mysql-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.5.dsc
http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.5.diff.gz
http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mysql/mysql-common_3.23.49-8.5_all.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-doc_3.23.49-8.5_all.deb
Alpha:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_alpha.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_alpha.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_alpha.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_arm.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_arm.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_arm.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_i386.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_i386.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_i386.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_ia64.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_ia64.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_ia64.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_hppa.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_hppa.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_hppa.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_m68k.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_m68k.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_m68k.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_mips.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_mips.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_mips.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_mipsel.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_mipsel.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_mipsel.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_powerpc.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_powerpc.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_powerpc.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_s390.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_s390.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_s390.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_sparc.deb
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_sparc.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_sparc.deb
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.