Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
« Blog
« El proyecto NEMESYS
19 de Diciembre, 2013    General

Actualización de seguridad de MySQL 5.5 en Debian Linux
Debian ha publicado una actualización del paquete correspondiente a la base de datosMySQL en la cual corrige múltiples vulnerabilidades y un par de errores de seguridad limitados a Debian.

Entre los fallos corregidos se encuentran vulnerabilidades que podrían causar denegación de servicio y revelación de información sensible a un atacante autenticado (con cuenta en la base de datos) a través de múltiples vectores.

La lista de identificadores CVE: CVE-2013-1861, CVE-2013-2162, CVE-2013-3783, CVE-2013-3793, CVE-2013-3802, CVE-2013-3804, CVE-2013-3809, CVE-2013-3812,CVE-2013-3839 y CVE-2013-5807.

Cabe destacar que dos de las vulnerabilidades no son inherentes a MySQL, sino que son introducidas por un error en el mecanismo de instalación del paquete y otro de regresión al no contener los parches adecuados y anteriormente publicados para la rama 5.1 de MySQL.

El primero de ellos reside en un script de post-instalación que podría verse afectado por una condición de carrera haciendo que el archivo 'etc/mysql/debían.cnf' pueda ser leído por todos los usuarios del sistema al otorgar los permisos de manera erronea. Dicho archivo contiene información sensible tal como las credenciales del usuario "debian-sys-mant".

El otro error es debido, como se ha comentado, a la falta de aplicación de ciertos parches anteriormente publicados en la rama 5.1 de MySQL. Este parche borra la base de datos "test". Cualquier usuario con una cuenta anónima y sin credenciales podía acceder a estas bases de datos. De igual forma, este usuario anónimo podría acceder a cualquier base de datos que comenzase por la cadena "test_".

Además de las vulnerabilidades mencionadas se han corregido errores de programación, mejoras de rendimiento y nuevas características, algunas de ellas, avisan, podrían causar problemas de compatibilidad.

Los paquetes para la versión estable (wheezy) e inestable (sid) se han publicado en los repositorios correspondientes con la salvedad de que los dos problemas específicos de Debian serán corregidos más adelante para la versión inestable.

Durante el proceso de actualización, según Debian, no se modifican las bases de datos existentes ni sus permisos.

Más información:

DSA-2818-1 mysql-5.5 -- several vulnerabilities
http://www.debian.org/security/2013/dsa-2818


David García
dgarcia@hispasec.com
Twitter: @dgn1729
Palabras claves , , , ,
publicado por alonsoclaudio a las 21:09 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):
Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Abril 2024 Ver mes siguiente
DOLUMAMIJUVISA
123456
78910111213
14151617181920
21222324252627
282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite

» Ver perfil
AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad