Fecha del reporte: 29 de abr de 2009

Paquetes afectados: mysql-dfsg-5.0

Más información: Multiples vulnerabilidades han sido identificadas afectando MySQL, un servidor de bases de datos relacionales, y esta asociado a su aplicación cliente interactiva. El proyecto Common Vulnerabilities and Exposures idenfica los siguientes dos problemas:

• CVE-2008-3963: Kay Roepke ha reportado que MySQL server no podria manejas adecuadamentre el vacío literal de una cadena de bits en una sentencia SQL, permitiendo autenticación de un atacante remoto para provocar denegación del servicio(una caida) en mysqld. Este problema afecta a la distribución oldstable (etch), pero no a la versión estable (lenny).

• CVE-2008-4456: Thomas Henlich ha reportado que la aplicación cliente de linea de comandos de MySQL no codifica caracteres especiales HTML cuando ejecuta en modo de salida HTML (eso es, "mysql --html ..."). Esto podria llevar potencialmente a cross-site scripting ó escala de privilegios involuntaria si la salida resultante es vista en un navegador o incorporada en un sitio web.

Para la distribución oldstable (etch), estos problemas han sido reparados en la versión 5.0.32-7etch10.

Para la distribución estable (lenny), estos problemas han sido reparados en la versión 5.0.51a-24+lenny1.

Recomendamos la actualización de los paquetes mysql-dfsg-5.0.

Original (en inglés): http://lists.debian.org/debian-security-announce/2009/msg00094.html