Aviso de seguridad de Debian

DSA-381-1 mysql -- desbordamiento de buffer

Fecha del informe:

13 de sep de 2003

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 210403.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 8590.
En el diccionario CVE de Mitre: CVE-2003-0780.

Información adicional:

MySQL, un sistema de base de datos relacional muy conocido, tenía una condición de desbordamiento de buffer que podría aprovechar un usuario que tuviera permiso para ejecutar comandos «ALTER TABLE» sobre las tablas de la base de datos «mysql». Si se aprovechaba con éxito, esta vulnerabilidad podría permitir al atacante ejecutar código arbitrario con los privilegios del proceso mysqld (de forma predeterminada, el usuario «mysql»). Ya que la base de datos «mysql» se usa para mantener los registros insternos de MySQL, sólo el administrador de mysql, «root», tiene permiso de forma predeterminada para alterar sus tablas.

Para la distribución estable (woody), este problema se ha corregido en la versión 3.23.49-8.5.

Para la distribución inestable (sid), este problema se corregirá en breve. Más información en el error nº 210403 de Debian.

Le recomendamos que actualice el paquete mysql.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.5.dsc; http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.5.diff.gz; http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/m/mysql/mysql-common_3.23.49-8.5_all.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-doc_3.23.49-8.5_all.deb
Alpha:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_alpha.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_alpha.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_alpha.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_arm.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_arm.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_arm.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_i386.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_i386.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_i386.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_ia64.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_ia64.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_ia64.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_hppa.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_hppa.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_hppa.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_m68k.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_m68k.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_m68k.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_mips.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_mips.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_mips.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_mipsel.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_mipsel.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_mipsel.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_powerpc.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_powerpc.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_powerpc.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_s390.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_s390.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_s390.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.5_sparc.deb; http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.5_sparc.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.5_sparc.deb; http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.5_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.