From: Genix <horohorinev@mail.ru>
To: Sarlug mailing list <sarlug@lug.ru>
Subject: [Sarlug] Fw: , [security-announce] IA: new MySQL packages available
Date: Mon, 16 Dec 2002 08:34:27 +0300
Message-ID: <20021216083427.3528146f.horohorinev@mail.ru> (raw)
Begin forwarded message:
Date: Mon, 16 Dec 2002 01:38:39 +0300
From: ALT Security Team <security@altlinux.org>
To: ALT Linux security announce list <security-announce-submit@altlinux.ru>
Subject: [security-announce] IA: new MySQL packages available
Stefan Esser из e-matters GmbH обнаружил несколько уязвимостей в широко
распространённом sql-сервере MySQL.
Две из выявленных уязвимостей - это ошибки в коде собственно сервера
MySQL, которые могут быть использованы потенциальным удалённым
злоумышленником для крушения MySQL-сервера. Кроме того, одна из этих
ошибок может быть использована для обхода проверки паролей в MySQL и,
возможно, для получения контроля над процессом mysqld, который по умолчанию
во всех дистрибутивах ALT Linux выполняется в специальной среде
(chroot jail) с правами виртуального пользователя mysql.
Другие две из выявленных уязвимостей - управляемое переполнение (heap
overflow) в клиентской библиотеке, и ещё одна ошибка, приводящая к
возможности попытки записи '\0' по любому адресу. Эти уязвимости
позволяют потенциальному удалённому злоумышленнику с помощью специальным
образом модифицированного MySQL-сервера организовать атаки на
MySQL-клиентов, от отказов в обслуживании до, возможно, получения контроля
над процессом.
С подробной информацией о найденных уязвимостях можно ознакомится по
адресу
http://security.e-matters.de/advisories/042002.html
Мы рекомендуем всем пользователям MySQL (сервера, клиента или клиентской
библиотеки) произвести обновление до версий пакетов, в которых указанные
уязвимости исправлены.
Обновления для дистрибутивов ALT Linux, в состав которых входят пакеты,
подверженные уязвимостям, о которых шла речь выше, доступны по следующим
адресам:
+ Для дистрибутива Linux-Mandrake RE Spring 2001:
ftp://updates.altlinux.com/Spring2001/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm
+ Для бета-версии дистрибутива ALT Linux Castle:
ftp://updates.altlinux.com/Castle/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm
+ Для дистрибутива ALT Linux Master 2.0:
ftp://updates.altlinux.com/Master/2.0/SRPMS/MySQL-3.23.52-alt1.3.src.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm
ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm
+ Для пользователей репозитария ALT Linux Sisyphus обновления доступны обычным образом.
Обновление можно проводить автоматически с помощью apt-get, как по
адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу
http://www.altlinux.ru/index.php?module=download
--
ALT Security Team
--
Best regards, Genix. mailto: genix@sendmail.ru
Registered Linux User #219993 http://saratov.lug.ru
reply other threads:[~2002-12-16 5:34 UTC|newest]
Thread overview: [no followups] expand[flat|nested] mbox.gz Atom feed
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20021216083427.3528146f.horohorinev@mail.ru \
--to=horohorinev@mail.ru \
--cc=sarlug@lug.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
Saratov Linux User Group
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sarlug/0 sarlug/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sarlug sarlug/ http://lore.altlinux.org/sarlug \
sarlug@lists.lug.ru sarlug@lug.ru
public-inbox-index sarlug
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sarlug
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git