Bonjour, Voici l'annonce de sécurité dsa-707, parue dernièrement.
Merci d'avance aux relecteurs. -- Simon Paillard
#use wml::debian::translation-check translation="1.1" maintainer="DFS Task Force" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p>Plusieurs vulnérabilités ont été découvertes dans MySQL, un gestionnaire de bases de données relationnelles populaire. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :</p> <ul> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0957";>CAN-2004-0957</a> <p>Sergei Golubchik a découver un problème dans la gestion des bases de données de nom similaire. Si un utilisateur dispose de droits sur une base de données dont le nom contient un blanc souligné (« underscore »), l'utilisateur accèdera avec les mêmes droits aux bases de données de nom similaire.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0709";>CAN-2005-0709</a> <p>Stefano Di Paola a découvert que MySQL autorisait les utilisateurs distants authentifiés et disposant des droits INSERT et DELETE à exécuter du code arbitraire, en utilisant CREATE FUNCTION pour accéder aux appels à la bibliothèque libc.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0710";>CAN-2005-0710</a> <p>Stefano Di Paola a découvert que MySQL autorisait les utilisateurs distants authentifiés et disposant des droits INSERT et DELETE à outrepasser les restrictions sur l'emplacement des bibliothèques, et à exécuter des bibliothèques arbitraires en utilisant INSERT INTO pour modifier la table mysql.func.</p> <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0711";>CAN-2005-0711</a> <p>Stefano Di Paola a découvert que MySQL utilisait des noms de fichiers prévisibles lors de la création des tables temporaires, ce qui permettait aux utilisateurs locaux disposant des droits CREATE TEMPORARY TABLE d'écraser des fichiers arbitraires par une attaque par lien symbolique.</p> </ul> <p>Pour l'actuelle distribution stable (<i>Woody</i>), ces problèmes ont été corrigés dans la version 3.23.49-8.11.</p> <p>Pour la distribution instable (<i>Sid</i>), ces problèmes ont été corrigés dans la version 4.0.24-5 de mysql-dfsg et dans la version 4.1.10a-6 de mysql-dfsg-4.1.</p> <p>Nous vous recommandons de mettre à jour vos paquets mysql.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2005/dsa-707.data" # $Id: dsa-707.wml,v 1.1 2005/04/13 14:45:49 joey Exp $
