Višestruke ranjivosti paketa MySQL

U radu programskog paketa MySQL uočeno je i ispravljeno više sigurnosnih propusta. Napadač ih je mogao iskoristiti za otkrivanje i izmjenu podataka, zaobilaženje ograničenja, dobivanje većih privilegija, napad uskraćivanjem usluga, umetanje skriptnog i HTML koda, te izvršavanje proizvoljnog programskog koda.

Paket:	mysql 5.x
Operacijski sustavi:	Ubuntu Linux 8.04, Ubuntu Linux 10.04, Ubuntu Linux 10.10, Ubuntu Linux 11.04, Ubuntu Linux 11.10
Kritičnost:	8.5
Problem:	neodgovarajuća provjera ulaznih podataka, pogreška u programskoj funkciji, pogreška u programskoj komponenti, preljev međuspremnika, XSS
Iskorištavanje:	lokalno/udaljeno
Posljedica:	dobivanje većih privilegija, izmjena podataka, otkrivanje osjetljivih informacija, proizvoljno izvršavanje programskog koda, umetanje HTML i skriptnog koda, uskraćivanje usluga (DoS), zaobilaženje postavljenih ograničenja
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2007-5925, CVE-2008-3963, CVE-2008-4098, CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030, CVE-2009-4484, CVE-2010-1621, CVE-2010-1626, CVE-2010-1848, CVE-2010-1849, CVE-2010-1850, CVE-2010-2008, CVE-2010-3677, CVE-2010-3678
Izvorni ID preporuke:	USN-1397-1
Izvor:	Ubuntu

Problem:
Problemi sigurnosti nastaju zbog pogrešaka u funkcijama "convert_search_mode_to_innobase" i "dispatch_command", neodgovarajućeg rukovanja znakom b'', višestrukih XSS ranjivosti, neodgovarajuće implementacije komponente "sql/sql_table.cc", itd.
Posljedica:
Zloćudni korisnik navedene propuste može iskoristiti za DoS (eng. Denial of Service) i XSS napad, zaobilaženje ograničenja i dobivanje većih ovlasti, izmjenu podataka te umetanje proizvoljnog programskog koda.
Rješenje:
Svim se korisnicima savjetuje korištenje dostupnih nadogradnji i zakrpa.

Izvorni tekst preporuke

==========================================================================
Ubuntu Security Notice USN-1397-1
March 12, 2012

mysql-5.1, mysql-dfsg-5.0, mysql-dfsg-5.1 vulnerabilities
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 11.10
- Ubuntu 11.04
- Ubuntu 10.10
- Ubuntu 10.04 LTS
- Ubuntu 8.04 LTS

Summary:

Several security issues were fixed in MySQL.

Software Description:
- mysql-5.1: MySQL database
- mysql-dfsg-5.1: MySQL database
- mysql-dfsg-5.0: MySQL database

Details:

Multiple security issues were discovered in MySQL and this update includes
new upstream MySQL versions to fix these issues.

MySQL has been updated to 5.1.61 in Ubuntu 10.04 LTS, Ubuntu 10.10,
Ubuntu 11.04 and Ubuntu 11.10. Ubuntu 8.04 LTS has been updated to
MySQL 5.0.95.

In addition to security fixes, the updated packages contain bug fixes, new
features, and possibly incompatible changes.

Please see the following for more information:

http://dev.mysql.com/doc/refman/5.1/en/news-5-1-x.html
http://dev.mysql.com/doc/refman/5.0/en/news-5-0-x.html
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 11.10:
  mysql-server-5.1                5.1.61-0ubuntu0.11.10.1

Ubuntu 11.04:
  mysql-server-5.1                5.1.61-0ubuntu0.11.04.1

Ubuntu 10.10:
  mysql-server-5.1                5.1.61-0ubuntu0.10.10.1

Ubuntu 10.04 LTS:
  mysql-server-5.1                5.1.61-0ubuntu0.10.04.1

Ubuntu 8.04 LTS:
  mysql-server-5.0                5.0.95-0ubuntu1

In general, a standard system update will make all the necessary changes.

References:
  http://www.ubuntu.com/usn/usn-1397-1
  CVE-2007-5925, CVE-2008-3963, CVE-2008-4098, CVE-2008-4456,
  CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030,
  CVE-2009-4484, CVE-2010-1621, CVE-2010-1626, CVE-2010-1848,
  CVE-2010-1849, CVE-2010-1850, CVE-2010-2008, CVE-2010-3677,
  CVE-2010-3678, CVE-2010-3679, CVE-2010-3680, CVE-2010-3681,
  CVE-2010-3682, CVE-2010-3683, CVE-2010-3833, CVE-2010-3834,
  CVE-2010-3835, CVE-2010-3836, CVE-2010-3837, CVE-2010-3838,
  CVE-2010-3839, CVE-2010-3840, CVE-2011-2262, CVE-2012-0075,
  CVE-2012-0087, CVE-2012-0101, CVE-2012-0102, CVE-2012-0112,
  CVE-2012-0113, CVE-2012-0114, CVE-2012-0115, CVE-2012-0116,

Package Information:
  https://launchpad.net/ubuntu/+source/mysql-5.1/5.1.61-0ubuntu0.11.10.1
  https://launchpad.net/ubuntu/+source/mysql-5.1/5.1.61-0ubuntu0.11.04.1
  https://launchpad.net/ubuntu/+source/mysql-5.1/5.1.61-0ubuntu0.10.10.1
  https://launchpad.net/ubuntu/+source/mysql-dfsg-5.1/5.1.61-0ubuntu0.10.04.1
  https://launchpad.net/ubuntu/+source/mysql-dfsg-5.0/5.0.95-0ubuntu1

Višestruke ranjivosti paketa MySQL

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Višestruke ranjivosti paketa MySQL

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti