Flere sårbarheder er opdaget i MySQL, et populært databaseprogram. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Sergei Golubchik har opdaget et problem i adgangshåndteringen af databaser med navne der ligner hinanden. Hvis en bruger tildeles rettigheder til en database med et navn indeholdende en understregning ("_"), fik brugeren også rettigheder til andre databaser med lignende navne.
Stefano Di Paola har opdaget at MySQL tillader at brugere, der er fjernautentificeret med INSERT- og DELETE-rettigheder, udfører vilkårlig kode ved hjælp af CREATE FUNCTION til at tilgå libc-kald.
Stefano Di Paola har opdaget at MySQL tillader at brugere, der er fjernautentificeret med INSERT- og DELETE-rettigheder, kan omgå begrænsninger i forbindelse med biblioteksstier, og udføre vilkårlige bibliotekter ved at anvende INSERT INTO til at andre tabellen mysql.func.
Stefano Di Paola har opdaget at MySQL anvender forudsigelige filnavne ved oprettelse af midlertidige tabeller, hvilket gjorde det muligt for lokale brugere med CREATE TEMPORARY TABLE-rettigheder, at overskrive vilrkårlige filer via et symlink-angreb.
I den stabile distribution (woody) er disse problemer rettet i version 3.23.49-8.11.
I den ustabile distribution (sid) er disse problemer rettet i version 4.0.24-5 af mysql-dfsg og i version 4.1.10a-6 af mysql-dfsg-4.1.
Vi anbefaler at du opgraderer dine mysql-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.