2005年4月14日

[debian-users:43443] [Translate] [SECURITY] [DSA 707-1] New mysql packages fix several vulnerabilities

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 707-1 security@xxxxx
http://www.debian.org/security/ Martin Schulze
April 13th, 2005 http://www.debian.org/security/faq
- --------------------------------------------------------------------------


Package : mysql
Vulnerability : 複数
Problem-Type : リモート
Debian-specific: いいえ
CVE ID : CAN-2004-0957
BugTraq ID : 12781
Debian Bug : 285276 296674 300158

複数の欠陥が広く用いられているデータベース MySQL に発見されました。The
Common Vulnerabilities and Exposures project は以下の問題を認識していま
す。

CAN-2004-0957

Sergei Golubchik さんにより、似た名前のデータベースの扱いに問題が発
見されました。ユーザが名前にアンダースコア ("_") を含むデータベース
の権限を得た場合、そのユーザは類似の名前のデータベースに対しての権限
も得ることが可能です。

CAN-2005-0709

Stefano Di Paola さんにより、リモートから INSERT と DELETE が出来る
権限を持つユーザが、CREATE FUNCTION を用いて libc を読み出すことによ
り任意のコードの実行が可能であることが発見されました。

CAN-2005-0710

Stefano Di Paola さんにより、リモートから INSERT と DELETE が出来る
権限を持つユーザが、INSERT INTO を用いて mysql.func テーブルを変更す
ることによりパスの制限をバイパスして任意のライブラリ関数を呼ぶことが
可能であることが発見されました。

CAN-2005-0711

Stefano Di Paola さんにより、MySQL が一時テーブルを作る際に予測可能な
ファイル名を用いており、CREATE TEMPORARY TABLE 権限を持つユーザがシン
ボリックリンク攻撃により任意のファイルを上書き可能であることが発見され
ました。

安定版 (stable) ディストリビューション (woody) では、この問題はバージョン
3.23.49-8.11 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題は
mysql-dfsg のバージョン 4.0.24-5 および mysql-dfsg-4.1 のバージョン
4.1.10a-6 で各々修正されています。

直ぐに mysql パッケージをアップグレードすることを勧めます。

アップグレード手順
------------------

wget url
でファイルを取得できます。
dpkg -i file.deb
で参照されたファイルをインストールできます。

を用いて、apt-get パッケージマネージャに以下記載の sources.list を与えて
次のコマンドを使ってください。

apt-get update
これは内部データベースを更新します。
apt-get upgrade
これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

ソースアーカイブ:

http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.11.dsc
Size/MD5 checksum: 877 df2d85bd322eb6d42287127aa911b07e
http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49-8.11.diff.gz
Size/MD5 checksum: 84421 13e0ec8441a97408ed4d0ab47981a333
http://security.debian.org/pool/updates/main/m/mysql/mysql_3.23.49.orig.tar.gz
Size/MD5 checksum: 11861035 a2820d81997779a9fdf1f4b3c321564a

Architecture independent components:

http://security.debian.org/pool/updates/main/m/mysql/mysql-common_3.23.49-8.11_all.deb
Size/MD5 checksum: 18094 578cfd9bbf7930981efc682c8e51b549
http://security.debian.org/pool/updates/main/m/mysql/mysql-doc_3.23.49-8.5_all.deb
Size/MD5 checksum: 1962992 a4cacebaadf9d5988da0ed1a336b48e6

Alpha architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_alpha.deb
Size/MD5 checksum: 279398 3971a1aa23bde9baefeb5784ef0ade3a
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_alpha.deb
Size/MD5 checksum: 780772 97e71d14a7a1d4dd21ed5deab8dd545e
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_alpha.deb
Size/MD5 checksum: 164748 7162245a011bed2fe08d0de4f95cc4e1
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_alpha.deb
Size/MD5 checksum: 3636734 66c25c69c3579a9d69cd5b258ff5aaee

ARM architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_arm.deb
Size/MD5 checksum: 239882 4472b428cbb26a752ac0e81b051cf628
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_arm.deb
Size/MD5 checksum: 636536 ca50af2c717731c69542d5724a47fdf6
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_arm.deb
Size/MD5 checksum: 125156 e72c65ef2ec3bb5d2a4a98263ccadb2b
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_arm.deb
Size/MD5 checksum: 2808394 49c9bfb44afb893144171137b98eed12

Intel IA-32 architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_i386.deb
Size/MD5 checksum: 236058 a166e82ba1b7444bf86273f6e2d06022
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_i386.deb
Size/MD5 checksum: 578064 a95797aa335d8f09ec119c553a766b08
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_i386.deb
Size/MD5 checksum: 123672 3bd8648dd73e9f8f435029907d7d8a32
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_i386.deb
Size/MD5 checksum: 2802056 dd4a223b162e6e13e0517220cc756fd3

Intel IA-64 architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_ia64.deb
Size/MD5 checksum: 316690 8c537c85c8485fc053b05aa7647e9c95
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_ia64.deb
Size/MD5 checksum: 850412 9b580b32697b20bd420682e2da02b55a
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_ia64.deb
Size/MD5 checksum: 174958 4529edb2a8ed5275b858ddda14cafc9c
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_ia64.deb
Size/MD5 checksum: 4001168 dffcaa4ea670a963c2e1c87f86ca790b

HP Precision architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_hppa.deb
Size/MD5 checksum: 282304 3192982a2bf0d1f4b4c898ffa45ee977
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_hppa.deb
Size/MD5 checksum: 745680 1746b48072bcc93c4588d1e6f0c12b44
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_hppa.deb
Size/MD5 checksum: 141770 b497d2bdd7032816a696985a65e32174
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_hppa.deb
Size/MD5 checksum: 3516268 216cbce37769115fe9d393b9193f4ad5

Motorola 680x0 architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_m68k.deb
Size/MD5 checksum: 229238 0c5ae0cdfb69ee2e8eaff52119bbfdf5
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_m68k.deb
Size/MD5 checksum: 559260 11b3be08f6cd4c916a56349908e73bc7
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_m68k.deb
Size/MD5 checksum: 119552 291df2ccd20afd3ba5b426bc232e1681
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_m68k.deb
Size/MD5 checksum: 2648664 32253029744281d67cc32516d4415a7b

Big endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_mips.deb
Size/MD5 checksum: 252512 9f0d13488d1ef1d46b1cf954247c5d73
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_mips.deb
Size/MD5 checksum: 690782 65245ff95983c58c49e5675e61ee3629
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_mips.deb
Size/MD5 checksum: 135060 5382f4e78411fcb8364df226d27b6480
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_mips.deb
Size/MD5 checksum: 2850534 1f6cbd34b484d6f57259c9c10d49c643

Little endian MIPS architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_mipsel.deb
Size/MD5 checksum: 252176 fe3be8acd75ccb1206d32b66f4a7f696
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_mipsel.deb
Size/MD5 checksum: 690178 9bc96dee918e627234f5aba08e8ed174
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_mipsel.deb
Size/MD5 checksum: 135402 219d4706babc06c8995c8674687bdd3b
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_mipsel.deb
Size/MD5 checksum: 2840476 f9feb1a4254acb12cd974fe7abdd7430

PowerPC architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_powerpc.deb
Size/MD5 checksum: 249246 d2433c23f8a83fbb7cfabaa7f1996ba0
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_powerpc.deb
Size/MD5 checksum: 654366 fc5f0eb155c521a8a2f2a621c58026ef
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_powerpc.deb
Size/MD5 checksum: 130604 06d0a734db8a480d31acfff1a032a1b2
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_powerpc.deb
Size/MD5 checksum: 2825402 7cb05dadadbdf7b2aeaebff9b1c57bdd

IBM S/390 architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_s390.deb
Size/MD5 checksum: 251522 0b0425e22e503cca3044457d1afb96a0
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_s390.deb
Size/MD5 checksum: 609212 f2e48ad9b41cd1aed57b0cf06a350c51
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_s390.deb
Size/MD5 checksum: 127578 e716610259ca1a56a5cc709bb0f39d8f
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_s390.deb
Size/MD5 checksum: 2692988 dc5da2e28c240fc7cd5d7a57038324c4

Sun Sparc architecture:

http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10_3.23.49-8.11_sparc.deb
Size/MD5 checksum: 242480 7fdfd764be3bc3eaccb2370b6d55f501
http://security.debian.org/pool/updates/main/m/mysql/libmysqlclient10-dev_3.23.49-8.11_sparc.deb
Size/MD5 checksum: 617570 900be3d64a19cc29f7e20449a3cb95e0
http://security.debian.org/pool/updates/main/m/mysql/mysql-client_3.23.49-8.11_sparc.deb
Size/MD5 checksum: 131548 890954cb23d89714d7645fa60587854c
http://security.debian.org/pool/updates/main/m/mysql/mysql-server_3.23.49-8.11_sparc.deb
Size/MD5 checksum: 2942040 5f234f648e9d269ca3df7167536bd2ae


これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@xxxxx
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<;pkg>
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko skaneko@xxxxx
---------------------------------------------------------


投稿者 xml-rpc : 2005年4月14日 00:32
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/16542
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。