OSEC

Neohapsis is currently accepting applications for employment. For more information, please visit our website www.neohapsis.com or email hr@neohapsis.com
 
[Atualizacoes-anuncio] [CLA-2005:946] Anúncio de Segurança Conectiva - MySQL

From: Conectiva Updates (secureconectiva.com.br)
Date: Mon Apr 04 2005 - 11:53:18 CDT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- -------------------------------------------------------------------------
ANÚNCIO DE SEGURANÇA DO CONECTIVA LINUX
- -------------------------------------------------------------------------

PACOTE : MySQL
RESUMO : Correções para diversas vulnerabilidades do mysql
DATA : 2005-04-04 13:52:00
ANÚNCIO : CLA-2005:946
EDIÇÕES : 9, 10

- -------------------------------------------------------------------------

DESCRIÇÃO DO PROBLEMA
 MySQL[1] é um sistema de banco de dados SQL bastante popular.
 
 Esta atualização corrige diversas vulnerabilidaes descobertas no
 MySQL:
 
 1.CAN-2005-0709[2]
   O MySQL permitia usuários remotos autenticados com privilégios de
 INSERT e DELETE na tabela administrativa 'mysql' a executar código
 arbitrário através de CREATE FUNCTION para acessar funções da libc,
 como demonstado com strcat, on_exit e exit.
 
 2.CAN-2005-0710[3]
   O MySQL permitia usuários remotos autenticados com privilégios de
 INSERT e DELETE a burlar as restrições de caminho de bibliotecas e
 executar o código de bibliotecas arbitrárias através de INSERT INTO
 para modificar a tabela mysql.func, a qual é processada pela função
 udf_init.
 
 3.CAN-2005-0711[4]
   O MySQL utilizava nomes de arquivos previsíveis na hora de criar
 tabelas temporárias, o que permitia a usuários locais com privilégios
 de CREATE TEMPORARY TABLE a sobrescrever arquivos arbitrários através
 de ataque de ligações simbólicas.

SOLUÇÃO
 É recomendado que todos os usuários do servidor MySQL façam a
 atualização imediatamente.
 
 IMPORTANTE: após a atualização no Conectiva Linux 9, é necessário
 reiniciar o serviço mysql manualmente. Para isso, pode-se executar o
 seguinte comando como usuário root:
 
 # /sbin/service mysql restart
 
 
 REFERÊNCIAS
 1.http://www.mysql.com/products/mysql/
 2.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0709
 3.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0710
 4.http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0711

PACOTES RPM
ftp://atualizacoes.conectiva.com.br/10/SRPMS/mysql-4.0.15-62448U10_2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libmysqlclient-devel-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libmysqlclient-devel-static-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/libmysqlclient12-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mysql-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mysql-bench-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mysql-client-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/10/RPMS/mysql-doc-4.0.15-62448U10_2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/SRPMS/MySQL-3.23.58-20507U90_3cl.src.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-3.23.58-20507U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-bench-3.23.58-20507U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-client-3.23.58-20507U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-devel-3.23.58-20507U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-devel-static-3.23.58-20507U90_3cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/9/RPMS/MySQL-doc-3.23.58-20507U90_3cl.i386.rpm

INSTRUÇÕES ADICIONAIS
 A ferramenta apt pode ser utilizada para fazer atualizações de
 pacotes RPM:

 - execute: apt-get update
 - seguido por: apt-get upgrade

 Instruções detalhadas de uso do apt e exemplos práticos encontram-se em
 http://distro.conectiva.com.br/atualizacoes/#apt

- -------------------------------------------------------------------------
Todos os pacotes listados aqui também são assinados com a chave GPG da
Conectiva. A chave, bem como instruções de como importá-la, pode ser
encontrada em http://distro.conectiva.com.br/seguranca/chave/.
Instruções para checar a assinatura dos pacotes podem ser encontradas em
http://distro.conectiva.com.br/seguranca/politica/.

- -------------------------------------------------------------------------
Todos os anúncios de atualizações são armazenados e podem ser consultados
na página http://distro.conectiva.com.br/atualizacoes/.
Instruções genéricas para atualizações são fornecidas na mesma página.

- -------------------------------------------------------------------------
A Conectiva possui uma lista pública para discutir assuntos de segurança
relacionados à distribuição. Acesse http://distro.conectiva.com.br/lista/
para obter mais informações.

- -------------------------------------------------------------------------
Copyright (c) 2004 Conectiva S.A.
http://www.conectiva.com.br

- -------------------------------------------------------------------------
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQFCUXD942jd0JmAcZARAsmIAKCEhx6XXuBlFKqClHX60dmEjbF5EQCfdBFe
VS/dH4j/OQmxal15CLXDz0Y=
=5L0u
-----END PGP SIGNATURE-----

--===============1841722954==
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

__________________________________________________________________________
cadastramento: atualizacoes-anuncio-subscribepapaleguas.conectiva.com.br
cancelamento: atualizacoes-anuncio-unsubscribepapaleguas.conectiva.com.br
--===============1841722954==--