Debian DSA-2818-1：mysql-5.5 - 複数の脆弱性

medium Nessus プラグイン ID 71474

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

MySQL データベースサーバーで、いくつかの問題が発見されています。この脆弱性は、新しい上流バージョン 5.5.33 に MySQL をアップグレードすることで対処されています。この上流バージョンには、パフォーマンス改善などの追加的な変更、バグ修正、新機能、互換性のない変更が含まれています。詳細については、MySQL 5.5 リリースノートを参照してください：

- http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
- http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html

また、この更新は、特に mysql-5.5 Debian パッケージに影響を与えている 2 つの問題を修正しています。

mysql-server-5.5 パッケージの事後インストールスクリプトにおける競合状態により、権限を制限する前に誰でも権限を読み取れる権限の「/etc/mysql/debian.cnf」構成ファイルが作成されます。これにより、ローカルのユーザーがファイルを読み取ることや、管理タスクを行うための debain-sys-maint の認証情報などの機密情報を取得する可能性があります。（CVE-2013-2162）

Matthias Reichl 氏は、mysql-5.5 パッケージに Debian の mysql-5.1 で以前適用されたパッチが欠如していることを報告しています。これは、パスワードなしで、「テスト」データベースや匿名アクセスを許可する権限を、localhost から「テスト」データベースと「test_」で始まる任意のデータベースへドロップするものでした。この更新では、mysql-5.5 パッケージ用の、これらのパッチを再導入しています。

既存のデータベースや権限は変更されていません。詳細については、この更新とともに提供される NEWS ファイルを参照してください。