OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
From: secureconectiva.com.br
Date: Fri Jan 18 2002 - 12:17:51 CST

  • Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    - -------------------------------------------------------------------------
    ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
    - -------------------------------------------------------------------------

    PACOTE : MySQL
    RESUMO : Arquivo de log do MySQL com permissões incorretas
    DATA : 2002-01-18 16:14:00
    ANÚNCIO : CLA-2002:455
    EDIÇÕES : 5.0, 5.1, 6.0

    - -------------------------------------------------------------------------

    DESCRIÇÃO DO PROBLEMA
     MySQL é um banco de dados SQL bastante popular enviado com diversas
     distribuições Linux.
     
     O pacote enviado com o Conectiva Linux 6.0 e anteriores possui o log
     do MySQL ativado por default. Todas as consultas, criação de
     usuários, troca de senhas e outras atividades são registradas no
     arquivo /var/log/mysql. O pacote destas versões da distribuição
     aplica permissões incorretas a este arquivo, deixando-o no modo 644.
     Isto significa que qualquer usuário possui acesso de leitura a estes
     dados.
     
     Acreditamos que esta vulnerabilidade[1,4] esteja apenas presente nos
     pacotes distribuídos no Conectiva Linux.
     
     Alguns outros problemas relacionados também são corrigidos nesta
     atualização:
     - o script logrotate, desde que o usuário root do mysql passou a ter
     senha por padrão, não conseguia mais restartar o servidor mysql. Como
     conseqüência os logs não eram rotacionados e um único arquivo de log
     permanecia no local, sempre aumentando de tamanho. Isto foi corrigido
     agora.
     - o log do servidor pode agora ser ativado ou desativado através de
     um novo arquivo de configuração, /etc/sysconfig/mysql. O padrão, no
     entanto, ainda é ter o log habilitado.

    SOLUÇÃO
     É recomendado que todos os usuários do servidor MySQL façam a
     atualização.
     
     Se uma atualização imediata não for possível, o administrador deve
     mudar as permissões do arquivo de log manualmente:
     
     chmod 600 /var/log/mysql*
     chown mysql.mysql /var/log/mysql*
     
     
     REFERÊNCIAS
     1. http://distro.conectiva.com.br/bugzilla/show_bug.cgi?id=4201
     2. http://distro.conectiva.com.br/bugzilla/show_bug.cgi?id=4220
     3. http://distro.conectiva.com.br/bugzilla/show_bug.cgi?id=3674
     4.
     http://distro.conectiva.com.br/pipermail/seguranca/2001-August/001870.html

    PACOTES RPM
    ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/MySQL-3.23.36-14U50_1cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-3.23.36-14U50_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/MySQL-3.23.36-14U51_1cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-3.23.36-14U51_1cl.i386.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/MySQL-3.23.36-14U60_1cl.src.rpm
    ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-3.23.36-14U60_1cl.i386.rpm

    INSTRUÇÕES ADICIONAIS
     Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
     atualizações de pacotes RPM:
     - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
     acrescente-a:

     rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

      (substitua "versão" pela sua versão. Por exemplo, 7.0)

     - execute: apt-get update
     - seguido por: apt-get upgrade

     Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
     http://distro.conectiva.com.br/atualizacoes/#apt

    - -------------------------------------------------------------------------
    Todos os pacotes listados aqui também são assinados com a chave GPG da
    Conectiva. A chave, bem como instruções de como importá-la, pode ser
    encontrada em http://distro.conectiva.com.br/seguranca/chave/.
    Instruções para checar a assinatura dos pacotes podem ser encontradas em
    http://distro.conectiva.com.br/seguranca/politica/.

    - -------------------------------------------------------------------------
    Todos os anúncios de atualizações são armazenados e podem ser consultados
    na página http://distro.conectiva.com.br/atualizacoes/.
    Instruções genéricas para atualizações são fornecidas na mesma página.

    - -------------------------------------------------------------------------
    A Conectiva possui uma lista pública para discutir assuntos de segurança
    relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
    para obter mais informações.

    - -------------------------------------------------------------------------
    cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
    cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.0.6 (GNU/Linux)
    Comment: For info see http://www.gnupg.org

    iD8DBQE8SGbO42jd0JmAcZARAsYxAJwPB/PgWpqXDZSOye/cNhm/s7KwZQCfbMbQ
    BVoLVCmQgl1XRYF/ISXxPJ8=
    =uOrP
    -----END PGP SIGNATURE-----