GLSA 200809-04: MySQL: Privilege bypass

Опасность:средняя
Заголовок:MySQL: Privilege bypass
Дата:04.09.2008
Ошибки: #220399
ID:200809-04

Сводка

A vulnerability in MySQL might allow users to bypass privileges and gain access to other databases.

Назначение

MySQL is a popular multi-threaded, multi-user SQL server.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-db/mysql < 5.0.60-r1 >= 5.0.60-r1 All supported architectures

Описание

Sergei Golubchik reported that MySQL imposes no restrictions on the specification of "DATA DIRECTORY" or "INDEX DIRECTORY" in SQL "CREATE TABLE" statements.

Воздействие

An authenticated remote attacker could create MyISAM tables, specifying DATA or INDEX directories that contain future table files by other database users, or existing table files in the MySQL data directory, gaining access to those tables.

Обход

There is no known workaround at this time.

Решение

All MySQL users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=dev-db/mysql-5.0.60-r1"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200809-04.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!