Várias vulnerabilidades foram descobertas no MySQL, um banco de dados popular. O Common Vulnerabilities and Exposures project identificou os seguintes problemas:
Sergei Golubchik descobriu um problema ao lidar com o acesso a bancos de dados com nomes similares. Se um usuário tem privilégios em um banco de dados cujo nome contêm underline ("_"), o usuário ganha privilégios em outros bancos de dados com nomes similares.
Stefano Di Paola descobriu que o MySQL permite que usuários autenticados remotamente com os privilégios INSERT e DELETE executem código arbitrário usando CREATE FUNCTION para acessar chamdas da libc.
Stefano Di Paola descobriu que o MySQL permite que usuários autenticados remotamente com os privilégios INSERT e DELETE passem pelas restrições de path de bibliotecas e executem bibliotecas arbitrárias usando INSERT INTO para modificar a tabela mysql.func.
Stefano Di Paola descobriu que o MySQL usar nomes de arquivos previsíveis para criar tabelas temporárias, permitindo a usuários locais com privilégios CREATE TEMPORARY TABLE sobrescreverem arquivos arbitrários através de um ataque por link simbólico.
Na distribuição estável (woody), estes problemas foram corrigidos na versão 3.23.49-8.11.
Na distribuição instável (sid), estes problemas foram corrigidos na versão 4.0.24-5 do pacote mysql-dfsg e na versão 4.1.10a-6 do pacote mysql-dfsg-4.1.
Nós recomendamos que você autalize seus pacotes mysql.
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.