Un problème de sécurité affecte les versions suivantes de Ubuntu :

Ubuntu 6.06 LTS
Ubuntu 8.04 LTS
Ubuntu 8.10
Ubuntu 9.04
Ubuntu 9.10

Cette notification vaut également pour les versions de Kubuntu, Edubuntu et Xubuntu.

Le problème peut être corrigé par la mise à niveau de votre système avec les versions de paquets suivantes :

En général, une mise à niveau standard du système est suffisante pour apporter les modifications nécessaires.

Details :

Il a été découvert que MySQL pouvait être amené à  écraser les fichiers de tables existantes dans le répertoire de données. Un utilisateur authentifié pourrait éventuellement utiliser les options DATA DIRECTORY et INDEX DIRECTORY pour contourner les vérifications de privilèges. Cette mise à jour modifie le comportement de création de table en interdisant l’utilisation du répertoire de données de MySQL dans les options DATA DIRECTORY et INDEX DIRECTORY. Ce problème n’a affecté que Ubuntu 8.10. (CVE-2008-4098)

Il a été découvert que MySQL contenait une vulnérabilité aux attaques croisées entre sites dans le client en ligne de commande lorsque l’option –html était activée. Un attaquant pourrait placer un script Web ou du HTML arbitraire dans une cellule de base de données, qui serait ensuite placé dnas le document HTML produit par l’utilitaire en ligne de commande. Ce problème n’a affecté que Ubuntu 6.06 LTS, 8.04 LTS, 8.10 et 9.04. (CVE-2008-4456)

Il a été découvert que MySQL pouvait être amené à  écraser les fichiers de tables existantes se trouvant dans le répertoire de données. Un utilisateur authentifié pourrait utiliser des liens symboliques combinés avec les options DATA DIRECTORY et INDEX DIRECTORY pour contourner les vérifications de privilèges. Ce problème n’a affecté que Ubuntu 9.10. (CVE-2008-7247)

Il a été découvert que MySQL contenait plusieurs failles relatives aux chaînes de format dans l’enregistrement du suivi des créations et des suppressions de bases de données. Un utilisateur authentifié pourrait utiliser des noms de bases de données spécialement conçus pour faire planter MySQL, entraînant un déni de service. Ce problème n’a affecté que Ubuntu 6.06 LTS, 8.04 LTS, 8.10 et 9.04. (CVE-2009-2446)

Il a été découvert que MySQL gérait de manière incorrecte les erreurs lors du traitement de certaines expressions SELECT et ne préserveait pas correctement les indicateurs d’état lors du traitement d’expressions utilisant la fonction GeomFromWKB. Un utilisateur authentifié pourrait exploiter ceci pour faire planter MySQL, entraînant un déni de service. (CVE-2009-4019)

Il a été découvert que MySQL ne vérifiait pas correctement les liens symboliques lors de l’utilisation des options DATA DIRECTORY et INDEX DIRECTORY. Un utilisateur local pourrait utiliser des liens symboliques pour créer des tables qui pointeraient vers des tables dont on sait qu’elles seraient créés ultérieurement, contournant les restrictions d’accès. (CVE-2009-4030)

Il a été découvert que MySQL contenait un dépassement de capacité lors de l’analyse des certificats SSL. Un attaquant distant pourrait envoyer des requêtes spécialement conçues et entraîner un déni de service ou éventuellement exécuter du code arbitraire. Ce problème n’a pas affecté Ubuntu 6.06 LTS et pour les versions affectées, les options par défaut du compilateur devraient réduire la vulnérabilité à un déni de service. Dans l’installation par défaut, les attaquants seraient également isolés par le profil MySQL de AppArmor. (CVE-2009-4484)

Origine : USN-897-1: MySQL vulnerabilities (http://www.ubuntu.com/usn/USN-897-1)