From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: sisyphus@altlinux.ru Subject: Re: [sisyphus] mysql buffer overflow References: <20030916101429.63660e7c.matrix@podlipki.ru> <20030916105444.GA16414@basalt.office.altlinux.org> From: Dmitry Derjavin Date: Wed, 17 Sep 2003 13:27:56 +1100 In-Reply-To: <20030916105444.GA16414@basalt.office.altlinux.org> (Dmitry V. Levin's message of "Tue, 16 Sep 2003 14:54:44 +0400") Message-ID: User-Agent: Gnus/5.090024 (Oort Gnus v0.24) Emacs/21.2 (gnu/linux) MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: sisyphus@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 17 Sep 2003 02:27:59 -0000 Archived-At: List-Archive: "Dmitry V. Levin" writes: >> http://www.securityfocus.com/archive/1/337012 > > По независящим от ALT Security Team причинам организационного характера > выпуск этого и нескольких других обновлений задерживается. > > Что касается этой конкретной уязвимости, то она не представляет большой > угрозы, ибо privilege escalation в данном случае сведена к минимуму: > администратор базы данных (пользователь с правами ALTER на таблицу > mysql.user) может исполнять любой код с правами псевдопользователя mysql в > chroot jail'е /var/lib/mysql/. Прекрасный ответ. Хотелось бы видеть такие ответы не только здесь, но и в security-announce@altlinux.ru сразу после публикации сообщений об ошибках. Даже если нет необходимости или возможности для немедленного выпуска обновлений, хочется получить официальный комментарий ALT Security Team. Сейчас иногда возникает ощущение, что ALT Security Team не очень внимательно следит за выпуском обновлений, связанных с безопасностью. -- ~dd