-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : MySQL
RESUMO : Diversas vulnerabilidades
DATA : 2002-12-17 11:51:00
ANÚNCIO : CLA-2002:555
EDIÇÕES : 6.0, 7.0, 8

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 MySQL é um sistema de banco de dados SQL bastante popular distribuído
 sob a licença GNU-GPL.
 
 Stefan Esser da empresa alemã e-maters[1] descobriu diversas
 vulnerabilidades no código do projeto MySQL que afetam tanto o
 servidor quanto a biblioteca de acesso cliente (libmysql).
 
 As vulnerabilidades do servidor podem ser exploradas para tirar o
 servidor de execução, contornar restrições de autenticação e até
 mesmo executar código arbitrário com os privilégios do usuários
 responsável pela execução processo servidor.
 
 As vulnerabilidades da biblioteca consistem em um estouro de buffer e
 um problema de endereçamento de memória. Essas vulnerabilidades podem
 ser exploradas para tirar programas de execução e/ou executar código
 arbitrário, e por residirem na biblioteca cliente do mysql
 (libmysql), todas as aplicações que dela façam uso potencialmente
 estão vulneráveis.
 
 Maiores detalhes a respeito de cada uma das vulnerabilidades
 descobertas podem ser encontrados no anúncio[2] da e-matters.

SOLUÇÃO
 É recomendado que todos os usuários do servidor MySQL façam a
 atualização imediatamente.
 
 IMPORTANTE: após a atualização é necessário reiniciar o serviço mysql
 manualmente. Para isso, pode-se executar o seguinte comando como
 usuário root:
 
 # /sbin/service mysql restart
 
 É recomendado que todos os programas ligados à biblioteca libmysql
 também sejam reinicializados. Uma lista de tais programas em execução
 pode ser obtida através do comando abaixo:
 
 # /usr/sbin/lsof | grep libmysql
 
 
 REFERÊNCIAS:
 1.http://www.e-matters.de/
 2.http://security.e-matters.de/advisories/042002.html
 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1373
 4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1374
 5.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1375
 6.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1376

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-bench-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-client-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-devel-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-devel-static-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-doc-3.23.36-14U60_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/MySQL-3.23.36-14U60_3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-bench-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-client-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-devel-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-devel-static-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/RPMS/MySQL-doc-3.23.36-14U70_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/7.0/SRPMS/MySQL-3.23.36-14U70_3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-bench-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-client-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-devel-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-devel-static-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/RPMS/MySQL-doc-3.23.46-4U80_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/8/SRPMS/MySQL-3.23.46-4U80_2cl.src.rpm

INSTRUÇÕES ADICIONAIS
 Usuários do Conectiva Linux 6.0 ou superior podem usar apt para fazer
 atualizações de pacotes RPM:
 - se a linha abaixo ainda não existir no arquivo /etc/apt/sources.list,
 acrescente-a:

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br versão/conectiva updates

  (substitua "versão" pela sua versão. Por exemplo, 7.0)

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9/y0O42jd0JmAcZARAk95AKDVGNpgYuvZ/zHW/JDCg4FF/J+yLACeJqLy
mymUZdkYJRXHrXJncYsFMuo=
=YxS/
-----END PGP SIGNATURE-----

• Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]