From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 16 Dec 2002 08:34:27 +0300 From: Genix To: Sarlug mailing list Message-Id: <20021216083427.3528146f.horohorinev@mail.ru> X-Mailer: Sylpheed version 0.8.6 (GTK+ 1.2.10; i586-alt-linux) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: [Sarlug] Fw: , [security-announce] IA: new MySQL packages available Sender: sarlug-admin@lug.ru Errors-To: sarlug-admin@lug.ru X-BeenThere: sarlug@lug.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sarlug@lug.ru List-Unsubscribe: , List-Id: Saratov Linux User Group Maillist List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: Begin forwarded message: Date: Mon, 16 Dec 2002 01:38:39 +0300 From: ALT Security Team To: ALT Linux security announce list Subject: [security-announce] IA: new MySQL packages available Stefan Esser из e-matters GmbH обнаружил несколько уязвимостей в широко распространённом sql-сервере MySQL. Две из выявленных уязвимостей - это ошибки в коде собственно сервера MySQL, которые могут быть использованы потенциальным удалённым злоумышленником для крушения MySQL-сервера. Кроме того, одна из этих ошибок может быть использована для обхода проверки паролей в MySQL и, возможно, для получения контроля над процессом mysqld, который по умолчанию во всех дистрибутивах ALT Linux выполняется в специальной среде (chroot jail) с правами виртуального пользователя mysql. Другие две из выявленных уязвимостей - управляемое переполнение (heap overflow) в клиентской библиотеке, и ещё одна ошибка, приводящая к возможности попытки записи '\0' по любому адресу. Эти уязвимости позволяют потенциальному удалённому злоумышленнику с помощью специальным образом модифицированного MySQL-сервера организовать атаки на MySQL-клиентов, от отказов в обслуживании до, возможно, получения контроля над процессом. С подробной информацией о найденных уязвимостях можно ознакомится по адресу http://security.e-matters.de/advisories/042002.html Мы рекомендуем всем пользователям MySQL (сервера, клиента или клиентской библиотеки) произвести обновление до версий пакетов, в которых указанные уязвимости исправлены. Обновления для дистрибутивов ALT Linux, в состав которых входят пакеты, подверженные уязвимостям, о которых шла речь выше, доступны по следующим адресам: + Для дистрибутива Linux-Mandrake RE Spring 2001: ftp://updates.altlinux.com/Spring2001/SRPMS/MySQL-3.23.52-alt1.3.src.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Spring2001/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm + Для бета-версии дистрибутива ALT Linux Castle: ftp://updates.altlinux.com/Castle/SRPMS/MySQL-3.23.52-alt1.3.src.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Castle/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm + Для дистрибутива ALT Linux Master 2.0: ftp://updates.altlinux.com/Master/2.0/SRPMS/MySQL-3.23.52-alt1.3.src.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/libMySQL-devel-static-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-bench-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-client-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-doc-3.23.52-alt1.3.i586.rpm ftp://updates.altlinux.com/Master/2.0/i586/RPMS/MySQL-server-3.23.52-alt1.3.i586.rpm + Для пользователей репозитария ALT Linux Sisyphus обновления доступны обычным образом. Обновление можно проводить автоматически с помощью apt-get, как по адресам, приведённым выше, так и по адресам зеркал, приведённых по адресу http://www.altlinux.ru/index.php?module=download -- ALT Security Team -- Best regards, Genix. mailto: genix@sendmail.ru Registered Linux User #219993 http://saratov.lug.ru