From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <horohorinev@mail.ru>
Date: Mon, 16 Dec 2002 08:34:27 +0300
From: Genix <horohorinev@mail.ru>
To: Sarlug mailing list <sarlug@lug.ru>
Message-Id: <20021216083427.3528146f.horohorinev@mail.ru>
X-Mailer: Sylpheed version 0.8.6 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Subject: [Sarlug] Fw: , [security-announce] IA: new MySQL packages available
Sender: sarlug-admin@lug.ru
Errors-To: sarlug-admin@lug.ru
X-BeenThere: sarlug@lug.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sarlug@lug.ru
List-Unsubscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=unsubscribe>
List-Id: Saratov Linux User Group Maillist <sarlug.lug.ru>
List-Post: <mailto:sarlug@lug.ru>
List-Help: <mailto:sarlug-request@lug.ru?subject=help>
List-Subscribe: <http://lug.ru/mailman/listinfo/sarlug>,
	<mailto:sarlug-request@lug.ru?subject=subscribe>
List-Archive: <http://lug.ru/pipermail/sarlug/>
Archived-At: <http://lore.altlinux.org/sarlug/20021216083427.3528146f.horohorinev@mail.ru/>
List-Archive: <http://lore.altlinux.org/sarlug/>
List-Post: <mailto:sarlug@lists.lug.ru>


Begin forwarded message:

Date: Mon, 16 Dec 2002 01:38:39 +0300
From: ALT Security Team <security@altlinux.org>
To: ALT Linux security announce list <security-announce-submit@altlinux.ru>
Subject: [security-announce] IA: new MySQL packages available


Stefan Esser из e-matters GmbH обнаружил несколько уязвимостей в широко
распространённом sql-сервере MySQL.

Две из выявленных уязвимостей - это ошибки в коде собственно сервера
MySQL, которые могут быть использованы потенциальным удалённым
злоумышленником для крушения MySQL-сервера. Кроме того, одна из этих
ошибок может быть использована для обхода проверки паролей в MySQL и,
возможно, для получения контроля над процессом mysqld, который по умолчанию
во всех дистрибутивах ALT Linux выполняется в специальной среде
(chroot jail) с правами виртуального пользователя mysql.

Другие две из выявленных уязвимостей - управляемое переполнение (heap
overflow) в клиентской библиотеке, и ещё одна ошибка, приводящая к
возможности попытки записи '\0' по любому адресу. Эти уязвимости
позволяют потенциальному удалённому злоумышленнику с помощью специальным
образом модифицированного MySQL-сервера организовать атаки на
MySQL-клиентов, от отказов в обслуживании до, возможно, получения контроля
над процессом.

С подробной информацией о найденных уязвимостях можно ознакомится по
адресу
http://security.e-matters.de/advisories/042002.html

Мы рекомендуем всем пользователям MySQL (сервера, клиента или клиентской
библиотеки) произвести обновление до версий пакетов, в которых указанные
уязвимости исправлены.

Обновления для дистрибутивов ALT Linux, в состав которых входят пакеты,
подверженные уязвимостям, о которых шла речь выше, доступны по следующим
адресам:

+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://updates.altlinux.com/Spring2001/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://updates.altlinux.com/Castle/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для дистрибутива ALT Linux Master 2.0:
ftp://updates.altlinux.com/Master/2.0/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm

+ Для пользователей репозитария ALT Linux Sisyphus обновления доступны обычным образом.

Обновление можно проводить автоматически с помощью apt-get, как по
адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download


--
ALT Security Team



-- 
Best regards, Genix.			mailto: genix@sendmail.ru
Registered Linux User #219993		http://saratov.lug.ru