Для закрытия уязвимостей CVE-2023-39975 и CVE-2023-5363 необходимо обновить пакет mysql
А откуда информация что эти уязвимости имеют отношение к mysql ? https://packages.altlinux.org/ru/vuln/CVE-2023-5363 https://packages.altlinux.org/ru/vuln/CVE-2023-39975
Данная информация предоставлена из данного источника: https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL
(Ответ для Aleksandr на комментарий #2) > Данная информация предоставлена из данного источника: > https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL В этом источнике даже дается отсылка к продуктам, в которых обнаружены данные CVE (OpenSSL, Kerberos). Вот ссылки на базу NIST, где нет связи с MySQL в CPE: https://nvd.nist.gov/vuln/detail/CVE-2023-5363 https://nvd.nist.gov/vuln/detail/CVE-2023-39975 Данные уязвимости не относятся непосредственно к MySQL. CVE-2023-39975 MySQL Server Server: Packaging (Kerberos) [...] 8.0.34 and prior; CVE-2023-5363 MySQL Server Server: Packaging (OpenSSL) [...] 8.0.35 and prior; В Sisyphus MySQL версии 8.0.36. Собирался позже обоих упомянутых продуктов. https://packages.altlinux.org/ru/sisyphus/srpms/krb5/changelog/ : - 1.21.2 (Fixes: CVE-2023-39975) https://packages.altlinux.org/ru/sisyphus/srpms/openssl3/changelog/ : - Updated to 3.1.4 (fixes CVE-2023-5363).
(In reply to Aleksandr from comment #2) > Данная информация предоставлена из данного источника: > https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL Oracle публикует тут всё, что касается их поставок бинарников. Однако и уязвимости MySQL там тоже есть. CVE-2024-20975, например, выглядит достаточно свежей чтобы поставить наш пакет под подозрение.
А она, как раз, исправлена. https://packages.altlinux.org/ru/vuln/CVE-2024-20975