Bug 49167 - MySQL CVE-2023-39975 и CVE-2023-5363
Summary: MySQL CVE-2023-39975 и CVE-2023-5363
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: MySQL (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Николай Костригин
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-01-24 10:01 MSK by Aleksandr
Modified: 2024-01-25 11:33 MSK (History)
5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Aleksandr 2024-01-24 10:01:29 MSK 
Для закрытия уязвимостей CVE-2023-39975 и CVE-2023-5363 необходимо обновить пакет mysql
Comment 1 Anton Farygin 2024-01-24 10:14:13 MSK 
А откуда информация что эти уязвимости имеют отношение к mysql ?
https://packages.altlinux.org/ru/vuln/CVE-2023-5363
https://packages.altlinux.org/ru/vuln/CVE-2023-39975
Comment 2 Aleksandr 2024-01-24 10:34:29 MSK 
Данная информация предоставлена из данного источника:
https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL
Comment 3 Николай Костригин 2024-01-24 12:10:02 MSK 
(Ответ для Aleksandr на комментарий #2)
> Данная информация предоставлена из данного источника:
> https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL

В этом источнике даже дается отсылка к продуктам, в которых обнаружены данные CVE (OpenSSL, Kerberos). 

Вот ссылки на базу NIST, где нет связи с MySQL в CPE:
https://nvd.nist.gov/vuln/detail/CVE-2023-5363
https://nvd.nist.gov/vuln/detail/CVE-2023-39975

Данные уязвимости не относятся непосредственно к MySQL.

CVE-2023-39975 	MySQL Server 	Server: Packaging (Kerberos) [...] 8.0.34 and prior;
CVE-2023-5363 	MySQL Server 	Server: Packaging (OpenSSL) [...] 8.0.35 and prior;


В Sisyphus MySQL версии 8.0.36. Собирался позже обоих упомянутых продуктов.


https://packages.altlinux.org/ru/sisyphus/srpms/krb5/changelog/ : - 1.21.2 (Fixes: CVE-2023-39975)
https://packages.altlinux.org/ru/sisyphus/srpms/openssl3/changelog/ : - Updated to 3.1.4 (fixes CVE-2023-5363).
Comment 4 Ivan A. Melnikov 2024-01-25 08:11:08 MSK 
(In reply to Aleksandr from comment #2)
> Данная информация предоставлена из данного источника:
> https://www.oracle.com/security-alerts/cpujan2024.html?62368#AppendixMSQL

Oracle публикует тут всё, что касается их поставок бинарников.

Однако и уязвимости MySQL там тоже есть. CVE-2024-20975, например, выглядит достаточно свежей чтобы поставить наш пакет под подозрение.
Comment 5 Anton Farygin 2024-01-25 11:33:56 MSK 
А она, как раз, исправлена.
https://packages.altlinux.org/ru/vuln/CVE-2024-20975