path: root/finnish/security/2002/dsa-212.wml

#use wml::debian::translation-check translation="e2c1d2853ce3c1c7b0ca04f878788e32498bfaf3"
<define-tag description>useita ongelmia</define-tag>
<define-tag moreinfo>
<p>Tarkistettaessa MySQL e-matters -komponenttia havaittiin useita ongelmia:</p>

<dl>
<dt>COM_TABLE_DUMP: signed/unsigned-ongelma
<dd>
SQL-pyynnöstä otettiin kaksi arvoa signed-muuttujiksi, jotka valittiin
unsigned-muuttujiksi tarkistamatta mahdollisia negatiivisia arvoja. Koska
tulokseksi saatuja numeroarvoja käytettiin memcpy()-toimintoon tämä saattoi
johtaa muistin korruptoitumiseen.
</dd>

<dt>COM_CHANGE_USER: salasanan pituuden käsittely
<dd>
Tunnistettaessa toinen käyttäjä uudelleen MySQL ei suorittanut kaikkia
tarkistuksia jotka tehdään alkutunnistuksessa. Tämä synnytti kaksi ongelmaa:
  <ul>
  <li> se mahdollisti yhden merkin pituisen salasanan pakottamiseen
  (korjaus kirjautumistapahtumaan tehtiin helmikuussa 2000), jota kautta
  käyttäjän oli mahdollista saada root-oikeudet tietokantaan
  </li>
  <li> oli mahdollista aiheuttaa password-puskurin ylivuoto ja pakottaa
  palvelin suorittamaan mielivaltaista koodia
  </li>
  </ul>
</dd>

<dt>libmysqlclient: read_rows()-ylivuoto
<dd>
Käsiteltäessä SQL-palvelimen palauttamia rivejä, mahdollisia ylipitkiä rivejä
tai päättäviä NUL-merkkejä ei tarkistettu. SQL-asiakkaita on mahdollista
käyttää hyväksi tätä kautta mikäli ne ottavat yhteyden alttiiseen
MySQL-palvelimeen.
</dd>

<dt>libmysqlclient: read_one_row()-ylivuoto
<dd>
Käsiteltäessä SQL-palvelimen palauttamaa riviä, returned-kentän kokoja ei
tarkistettu.  SQL-asiakkaita on mahdollista käyttää hyväksi tätä kautta mikäli
ne ottavat yhteyden alttiiseen MySQL-palvelimeen.
</dd>
</dl>

<p>Ongelma on korjattu Debian GNU/Linux 3.0-jakelun (woody) versiossa
3.23.49-8.2 ja Debian GNU/Linux 2.2-jakelun (potato) versiossa 3.22.32-6.3 .</p>

<p>Suosittelemme päivittämään mysql-paketit mahdollisimman pian.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-212.data"