[LWN Logo]
[Timeline]
Date:         Thu, 25 Jan 2001 16:22:04 -0200
From: secure@CONECTIVA.COM.BR
Subject:      [CLA-2001:375] Conectiva Linux Security Announcement - MySQL
To: BUGTRAQ@SECURITYFOCUS.COM

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- --------------------------------------------------------------------------
CONECTIVA LINUX SECURITY ANNOUNCEMENT
- --------------------------------------------------------------------------

PACKAGE   : MySQL
SUMMARY   : Remote exploit
DATE      : 2001-01-25 15:38:00
ID        : CLA-2001:375
RELEVANT
RELEASES  : 4.0, 4.0es, 4.1, 4.2, 5.0, 5.1, 6.0

- -------------------------------------------------------------------------

DESCRIPTION
 MySQL is a very popular database.
 Versions older than 3.23.31 have a buffer overflow vulnerability that
 could be exploited remotely depending on how the database access is
 configured (via web, for example).


SOLUTION
 It is recommended that all MySQL users update their packages
 immediately.
 Older versions of Conectiva Linux ran the mysqld daemon as root. This
 update changes that behaviour for these older versions so that the
 daemon now runs as the "mysql" user instead of root. CL6.0 already
 has this feature. Users upgrading older versions should check the
 /var/lib/mysql directory for permissions for the mysql user. Usually,
 a "chown -R mysql.mysql /var/lib/mysql" should be enough.
 Also, programs using the dynamic library of MySQL should be
 recompiled after this update.


DIRECT DOWNLOAD LINKS TO THE UPDATED PACKAGES
ftp://atualizacoes.conectiva.com.br/4.0/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.0es/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.1/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/4.2/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.0/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/5.1/i386/MySQL-bench-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/SRPMS/MySQL-3.23.32-2cl.src.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-client-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-devel-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-devel-static-3.23.32-2cl.i386.rpm
ftp://atualizacoes.conectiva.com.br/6.0/RPMS/MySQL-bench-3.23.32-2cl.i386.rpm


ADDITIONAL INSTRUCTIONS
 Users of Conectiva Linux version 6.0 or higher may use apt to perform
 upgrades:
 - add the following line to /etc/apt/sources.list if it is not there yet
   (you may also use linuxconf to do this):

 rpm [cncbr] ftp://atualizacoes.conectiva.com.br 6.0/conectiva updates

 - run:                 apt-get update
 - after that, execute: apt-get upgrade

 Detailed instructions reagarding the use of apt and upgrade examples
 can be found at http://distro.conectiva.com.br/atualizacoes/#apt?idioma=en


- -------------------------------------------------------------------------
All packages are signed with Conectiva's GPG key. The key and instructions
on how to import it can be found at
http://distro.conectiva.com.br/seguranca/chave/?idioma=en
Instructions on how to check the signatures of the RPM packages can be
found at http://distro.conectiva.com.br/seguranca/politica/?idioma=en

- -------------------------------------------------------------------------
All our advisories and generic update instructions can be viewed at
http://www.conectiva.com.br/suporte/atualizacoes

- -------------------------------------------------------------------------
subscribe: conectiva-updates-subscribe@papaleguas.conectiva.com.br
unsubscribe: conectiva-updates-unsubscribe@papaleguas.conectiva.com.br
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE6cG7L42jd0JmAcZARAhvIAJ40jqPyejTfDFoB1XflY6r8ZCHmeACgnVBk
nNwdz+x0S6Jxx76R2Owqrg8=
=wZH3
-----END PGP SIGNATURE-----