Debian DSA-2818-1:mysql-5.5 - 多个漏洞
medium Nessus 插件 ID 71474
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
已发现在 MySQL 数据库服务器中存在多个问题。已通过将 MySQL 升级到新的上游版本 5.5.33 来解决这些漏洞,该版本包含更多变更,例如性能改进、缺陷补丁、新功能并可能包含不兼容的变更。请参阅 MySQL 5.5 发行说明以了解更多详细信息:- http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html - http://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
此外,此更新修复两个专门影响 mysql-5.5 Debian 程序包的问题:
mysql-server-5.5 程序包的 post-installation 脚本中的争用条件在限制权限之前以全局可读权限创建配置文件“/etc/mysql/debian.cnf”,这样允许本地用户读取该文件并获取 debian-sys-maint 的凭据等敏感信息以便执行管理任务。(CVE-2013-2162)
Matthias Reichl 报告称 mysql-5.5 程序包遗漏之前在 Debian 的 mysql-5.1 中应用的修补程序,这些修补程序用于终止数据库“test”和允许在无密码情况下从 localhost 到“test”数据库及任何以“test_”开头的数据库的匿名访问的权限。此更新重新引入 mysql-5.5 程序包的这些修补程序。
未涉及现有数据库和权限。请参阅随此更新提供的 NEWS 文件以了解更多信息。
解决方案
升级 mysql-5.5 程序包。对于稳定发行版本 (wheezy),已在版本 5.5.33+dfsg-0+wheezy1 中修复这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=711600
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=732306
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-32.html
https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-33.html
https://security-tracker.debian.org/tracker/CVE-2013-2162
插件详情
严重性: Medium
ID: 71474
文件名: debian_DSA-2818.nasl
版本: 1.11
类型: local
代理: unix
发布时间: 2013/12/17
最近更新时间: 2021/1/11
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:mysql-5.5, cpe:/o:debian:debian_linux:7.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/12/16
参考资料信息
CVE: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812, CVE-2013-3839, CVE-2013-5807
BID: 58511, 60424, 61210, 61244, 61249, 61260, 61264, 61272, 63105, 63109
DSA: 2818