Univention Bugzilla – Bug 26935
mysql-dfsg-5.1: Mehrere Sicherheitslücken (3.0)
Last modified: 2012-10-19 11:02:12 CEST
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html#AppendixMSQL Es gibt wieder keine weiteren Details zu den Sicherheitslücken: CVE-2012-1703 MySQL Server MySQL Protocol Server Optimizer CVE-2012-0583 MySQL Server MySQL Protocol MyISAM CVE-2012-1688 MySQL Server MySQL Protocol Server DML CVE-2012-1690 MySQL Server MySQL Protocol Server Optimizer
CVE-2012-2749: Denial of Service
CVE-2012-2101: Denial of Service
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html Wie immer keine weiterführenden Informationen zu den Sicherheitslücken: CVE-2012-0540 MySQL Server MySQL Protocol GIS Extension No 4.0 Network Low Single None None Partial+ 5.1.62 and earlier, 5.5.23 and earlier CVE-2012-1734 MySQL Server MySQL Protocol Server Optimizer No 4.0 Network Low Single None None Partial+ 5.1.62 and earlier, 5.5.23 and earlier CVE-2012-1689 MySQL Server MySQL Protocol Server Optimizer No 4.0 Network Low Single None None Partial+ 5.1.62 and earlier, 5.5.22 and earlier
CVE-2012-0882 Es gibt eine nicht weiter spezifizierte Lücke in MySQL. Die Firma, die das entdeckt hat, hat nur ein Video davon ins Netz gestellt (und will weitere Informationen nur gegen Geld weitergeben). Diese Lücke ist nach den bekannten Informationen in 5.1.62 gefixt.
Die binlog-Funtionalität (damit können Events bei z.B. Tabellenänderungen ausgelöst werden) erlaubt SQL-Injection (CVE-2012-4414)
> CVE-2012-2101: Denial of Service Das ist ein Typo und muss CVE-2012-2102 heissen. Für CVE-2012-0882 gibt es keine exakten Informationen, die Lücken sollten aber in dieser Version ebenfalls korrigiert sein: http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0882.html Für CVE-2012-4414 existiert noch kein MySQL-Fix, dazu lege ich einen separaten Bug an. ->Bug 28678
Die DSA-Version wurde gebaut und die YAML-Datei commitet.
Funktionstest mit amd64 && OX: OK Advisory: OK
http://errata.univention.de/errata127.html