1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
<define-tag description>Umgehung der Autorisation</define-tag>
<define-tag moreinfo>
<p>Sergei Golubchik entdeckte, dass MySQL, ein oft eingesetzter
Datenbank-Server, optionale Daten- oder Index-Verzeichnispfade, die in einer
<code>CREATE TABLE</code>-Anweisung angegeben wurden, nicht korrekt überprüft.
Ebensowenig würde es (unter bestimmten Umständen) zwei Datenbanken davon
abhalten, die selben Pfade für Daten- oder Indexdateien zu verwenden. Dies
ermöglicht es einem authentifizierten Benutzer mit der Autorisierung, Tabellen
in einer Datenbank zu erzeugen, Daten aus Tabellen zu lesen, zu schreiben oder
zu löschen, die anschließend in anderen Datenbanken erzeugt wurden. Dies ist
unabhängig von anderen <code>GRANT</code>-Autorisierungen. Das <q>Common
Vulnerabilities and Exposures</q>-Projekt identifiziert diese Schwäche als
<a href="https://security-tracker.debian.org/tracker/CVE-2008-2079">CVE-2008-2079</a>.</p>
<p>Für die Stable-Distribution (Etch) wurde dieses Problem in Version
5.0.32-7etch6 behoben. Beachten Sie, dass die durchgeführte Korrektur
zur Folge hat, dass die Auswahl von Daten- oder Indexpfaden unterhalb
des Root-Verzeichnisses der Datenbank, was in einem Debian-System
/var/lib/mysql ist, nicht erlaubt wird.
Datenbank-Administratoren, die die Platzierung dieser Dateien unter
diesem Pfad steuern müssen, müssen dies durch andere Mittel erreichen.</p>
<p>Wir empfehlen Ihnen, Ihre mysql-dfsg-5.0-Pakete zu aktualisieren.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1608.data"
# $Id$
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
|
