Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

.NET schlägt J2EE

Neue Benchmark-Ergebnisse haben gezeigt, dass auch eine optimierte Version von Suns Referenz-Applikation Pet Store auf Intel-Hardware nicht mit dem von Microsoft entwickelten .NET-Pendant mithalten kann. Das auf Java spezialisierte Unternehmen The Middlew ...

admin

Autor : admin
Kategorie: Software & Web-Development

okcinnetbiz-cms-free

Das okcinnetbiz-cms startet erstmal in einer kostenlosen Variante. Das okcinnetbiz-cms free CMS (Content Managment System) bietet die Möglichkeit direkt per Browser Inhalte in einer Datenbank zu hinterlegen. Die Dateneingabe erfolgt schnell und einfach m ...

okcinnetbiz

Autor : okcinnetbiz
Kategorie: Software & Web-Development

EMS MySQL Manager 3.4 jetzt auch auf Deutsch Veröffentlicht.

Wir sind froh, die neue Version des MySQL Manager 3.4 für Windows die unter anderen jetzt auch Komplet auf Deutsch vorhanden ist bekanntzugeben. Sie können die neueste Version hier herunterladen: http://www.sqlmanager.net/de/products/mysql/manager Wa ...

admin

Autor : admin
Kategorie: Software & Web-Development

Data Generator Utilities 2.1 veröffentlicht.

EMS ist froh die neusten Versionen von MySQL Data Generator, PostgreSQL Data Generator, MS SQL Data Generator, und InterBase/Firebird Data Generator Utilities vorstellen zu dürfen. Was ist der Data Generator? EMS Data Generator™ ist ein leistungsfähi ...

admin

Autor : admin
Kategorie: Software & Web-Development

Logdateien, Programmcode und Dokumentationen günstig drucken

Umwelt- und kostenbewusster Programmierer greift auf Refill-Patronen und Rebuilt-Kartuschen zu. Nicht ohne Grund. ...

phpler

Autor : phpler
Kategorie: Software & Web-Development

GIF bald patentfrei?

Eines der meistgehassten Software-Patente geht seinem Ende entgegen: Am nächsten Freitag, den 20. Juni, läuft das zu zweifelhaftem Ruhm gelangte US-Patent 4,558,302 aus: Das "GIF-Patent" der Firma Unisys. Genau genommen besitzt Unisys kein Patent auf ...

admin

Autor : admin
Kategorie: Software & Web-Development

Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen