Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

PHP 5.3.9 behebt Hash-bug

Die PHP-Version 5.3.9 behebt einen Bug, der DoS-Attacken über eine Hash-Kollisionen verhindern soll. ...

admin

Autor : admin
Kategorie: Software & Web-Development

MySQL schließt Sicherheitslücke

Die Revision 4.1.13 der Datenbank MySQL schließt eine Sicherheitslücke der Kompressionsbibliothek zlib. Die vor kurzem entdeckte Schwachstelle kann von Angreifern missbraucht werden, um MySQL zum Absturz zu bringen oder eigenen Code einzuschleusen. Au ...

admin

Autor : admin
Kategorie: Software & Web-Development

Sebastian Bergmanns Buch "Professionelle Softwareentwicklung mit PHP 5" jetzt in HTML-Form frei erhältlich

Ein halbes Jahr nach Veröffentlichung der Druckversion ist das Buch "Professionelle Softwareentwicklung mit PHP 5“ von Sebastian Bergmann in einer HTML-Version frei verfügbar. Ab sofort steht die Online-Version auf der Webseite zum Buch [1] kostenlos zur ...

admin

Autor : admin
Kategorie: Software & Web-Development

Bill Gates präsentiert Office-2003 live im Internet

Zum heutigen Verkaufsstart präsentiert Bill Gates die nächste Generation von Microsofts Bürosoftware ab 17 Uhr MEZ live im Internet. Office 2003 bietet zahlreiche Neuerungen, die vor allem Firmen betreffen. Neue Teamfunktionen sollen die gemeinsame Arbeit ...

admin

Autor : admin
Kategorie: Software & Web-Development

PostgreSQL-Version beseitigt Schwachstelle.

Die freie Datenbank PostgreSQL, von der gerade erst die überarbeitete und erweiterte Version 8.0 erschien, enthält ab Version 7.2.6 eine Schwachstelle, mit der angemeldete Benutzer ihre Zugriffsrechte erhöhen können. Ursache ist die LOAD-Option, mit der s ...

admin

Autor : admin
Kategorie: Software & Web-Development

jQuery UI 1.8 mit Funktionen für Animation und Effekten

Die Version jQuery UI 1.8, eine jQuery Erweiterung, wurde schlanker und soll besser zu erweitern sein. ...

admin

Autor : admin
Kategorie: Dies und Das

Finde den richtigen Job
Düsseldorf, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen