Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:N/A:P)
Производитель ПО
Наименование ПО
libmysqlclient18
(any)
libmysqlclient-dev
(any)
libmysqld-dev
(any)
libmysqld-pic
(any)
mysql-client
(any)
mysql-client-5.5
(any)
mysql-common
(any)
mysql-server
(any)
mysql-server-5.5
(any)
mysql-server-core-5.5
(any)
mysql-source-5.5
(any)
mysql-testsuite
(any)
mysql-testsuite-5.5
(any)
Описание
В сервере баз данных MySQL были обнаружены несколько уязвимостей. Уязвимости
сопутствуют обновлению MySQL до новой версии из основной ветки
разработки, 5.5.33, которая включает в себя дополнительные изменения, такие как улучшения
производительности, исправления ошибок, новые возможности и возможно несовместимые
изменения. Для дополнительной информации обратитесь к документу MySQL 5.5 Release Notes:
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
/> http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
/>
Кроме того, данное обновление исправляет две проблемы, затрагивавшие
конкретно Debian-пакет mysql-5.5:
Состояние гонки в постустановочном сценарии пакета mysql-server-5.5
создаёт файл настройки /etc/mysql/debian.cnf с
правами на чтение для любого пользователя до момента ограничения прав доступа, что
позволяет локальным пользователям читать файл и получать важную информацию,
такую как данные для доступа debian-sys-maint для выполнения
административных задач.
(CVE-2013-2162)
Матиас Райхль сообщил, что в пакете mysql-5.5 отсутствуют заплаты,
которые применялись в пакете mysql-5.1 для удаления базы данных test и
исправления прав доступа, которые разрешали анонимный доступ без пароля с
локального компьютера к базе данных test и любой базе данных, начинающейся с
test_. Данное обновление вновь содержит указанные заплаты для пакета
mysql-5.5
Существующие базы данных и права доступа не изменяются. Для получения дополнительной
информации обратитесь к файлу NEWS, содержащемуся в данном обновлении.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 5.5.33+dfsg-0+wheezy1.
В нестабильном выпуске (sid) проблемы, связанные непосредственно с Debian, будут
исправлены позже.
Мы рекомендуем вам обновить ваши пакеты mysql-5.5.
сопутствуют обновлению MySQL до новой версии из основной ветки
разработки, 5.5.33, которая включает в себя дополнительные изменения, такие как улучшения
производительности, исправления ошибок, новые возможности и возможно несовместимые
изменения. Для дополнительной информации обратитесь к документу MySQL 5.5 Release Notes:
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
/> http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html">http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
/>
Кроме того, данное обновление исправляет две проблемы, затрагивавшие
конкретно Debian-пакет mysql-5.5:
Состояние гонки в постустановочном сценарии пакета mysql-server-5.5
создаёт файл настройки /etc/mysql/debian.cnf с
правами на чтение для любого пользователя до момента ограничения прав доступа, что
позволяет локальным пользователям читать файл и получать важную информацию,
такую как данные для доступа debian-sys-maint для выполнения
административных задач.
(CVE-2013-2162)
Матиас Райхль сообщил, что в пакете mysql-5.5 отсутствуют заплаты,
которые применялись в пакете mysql-5.1 для удаления базы данных test и
исправления прав доступа, которые разрешали анонимный доступ без пароля с
локального компьютера к базе данных test и любой базе данных, начинающейся с
test_. Данное обновление вновь содержит указанные заплаты для пакета
mysql-5.5
Существующие базы данных и права доступа не изменяются. Для получения дополнительной
информации обратитесь к файлу NEWS, содержащемуся в данном обновлении.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 5.5.33+dfsg-0+wheezy1.
В нестабильном выпуске (sid) проблемы, связанные непосредственно с Debian, будут
исправлены позже.
Мы рекомендуем вам обновить ваши пакеты mysql-5.5.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
mysql-5.5 - 5.5.33+dfsg-0+wheezy1
Debian GNU/Linux 7:
noarch:
mysql-5.5 - 5.5.33+dfsg-0+wheezy1
Ссылки
http://www.debian.org/security/dsa-2818/
Источник: CVE
Наименование: CVE-2013-5807
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5807
Источник: CVE
Наименование: CVE-2013-2162
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2162
Источник: CVE
Наименование: CVE-2013-1861
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1861
Источник: CVE
Наименование: CVE-2013-3804
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3804
Источник: CVE
Наименование: CVE-2013-3839
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3839
Источник: CVE
Наименование: CVE-2013-3802
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3802
Источник: CVE
Наименование: CVE-2013-3793
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3793
Источник: CVE
Наименование: CVE-2013-3783
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3783
Источник: CVE
Наименование: CVE-2013-3812
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3812
Источник: CVE
Наименование: CVE-2013-3809
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3809
Источник: CVE
Наименование: CVE-2013-5807
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5807
Источник: CVE
Наименование: CVE-2013-2162
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2162
Источник: CVE
Наименование: CVE-2013-1861
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1861
Источник: CVE
Наименование: CVE-2013-3804
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3804
Источник: CVE
Наименование: CVE-2013-3839
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3839
Источник: CVE
Наименование: CVE-2013-3802
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3802
Источник: CVE
Наименование: CVE-2013-3793
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3793
Источник: CVE
Наименование: CVE-2013-3783
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3783
Источник: CVE
Наименование: CVE-2013-3812
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3812
Источник: CVE
Наименование: CVE-2013-3809
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3809