Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

2003-09-15 00:00:00 2003-09-15 00:00:00 admin

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory verÃ¶ffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. BenutzerpasswÃ¶rter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und LÃ¶schen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit lÃ¤ngeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausfÃ¼hren. In der Regel lÃ¤uft die Datenbank als User mysql, in seltenen FÃ¤llen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und fÃ¼r verschiedenste Zwecke von Web-Hostern kostengÃ¼nstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschlieÃlich 4.0.14, sowie bis einschlieÃlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch fÃ¼r Version 4.0.14 ist ebenfalls verfÃ¼gbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de

Author

admin
Administrator

Profil von admin anzeigen

Sage Danke!
Du findest den Beitrag gut und möchtest Dich beim Autor bedanken? Schicke ihm einen Betrag Deiner Wahl.
Danke sagen!

`Erfahrungen`

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen

Was zeichnet einen Full-Stack-Webentwickler aus und welche Fähigkeiten muss ein Full-Stack-Webentwickler besitzen?

In immer mehr Stellenausschreibungen liest man den Begriff "Full-Stack-Webentwickler". Was aber macht einen Full-Stack-Webentwickler eigentlich aus? Welche Themen der Webentwicklung sollte er abdecken können? ...

Autor : TheMax
Kategorie: PHP Magazin

phpFK jetzt in der v7.0.4 verfügbar

Für das kostenlose phpFK - PHP Forum Script ohne MySQL wurde heute die Version v7.0.4 zum kostenlosen Download zur Verfügung gestellt. Crawler & Robots - Auswertung ...

Autor : jaaap
Kategorie: Dies und Das

Wrapper für Bing Search API (inkl. PHP Beispiele)

Mit dem Wrapper ist es möglich, die Bing-Suchergebnisse auf seiner eigenen Webseite darzustellen. ...

Autor : admin
Kategorie: Dies und Das

SAP setzt auf MySQL

Der Software-Gigant SAP ist eine Partnerschaft mit dem schwedischen Datenbankentwickler MySQL eingegangen. Als Ziel der Zusammenarbeit nennt SAP die gemeinsame Entwicklung eines neuen Open-Source-Datenbanksystems für Unternehmensanwendungen. Der Schachzug ...

Autor : admin
Kategorie: Software & Web-Development

11 MBit Flatrate für 220 Mark!?

Die Realisierung des Zugangs ist mittels Funktürmen, die im 3 km - Radius in allen Städten mit mehr als 50.000 Einwohnern aufgestellt werden sollen, geplant. Beginnend mit Berlin, Hamburg, München, Köln, Frankfurt/Main, Stuttgart soll die Netzabdeckung ko ...

Autor : admin
Kategorie: Software & Web-Development

Maguma Toolkit

Maguma Toolkit* ergänzt mit zusätzlichen Funktionen Maguma Workbench. Alle Features sind einzelne Module die einfach und schnell der Basis Maguma Workbench hinzugefügt werden können. Aufgrund der Plug-in Architektur können hilfreiche Add-ons zu jedem Zeit ...

Autor : admin
Kategorie: Software & Web-Development

Magazin & Tutorials