Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

Letsbuyit.com nach Wiedereröffnung im Minus

Der Powershopping-Anbieter hat den ersten Quartalbericht nach der zeitweiligen Schließung vorgelegt. ---> Morpheus ...

admin

Autor : admin
Kategorie: Software & Web-Development

Risiken und Gefahren des Internets

Das Internet bietet in der heutigen Zeit sehr viele Vorteile und vereinfacht das alltägliche Leben fast überall. So können Menschen über das Internet miteinander kommunizieren oder auch diverse Überweisungen tätigen und Programme herunterladen. ...

phpler

Autor : phpler
Kategorie: Dies und Das

Subselects und bald auch Stored Procedures für MySQL

Demnächst wird die MySQL-Version 4.1 zum Download angeboten. Auf der LinuxWorld Expo wurde von MySQL AB offiziell eine neue Version ihres Datenbank-Management-Systems angekündigt. Neben vielen anderen Erweiterungen gehören die Unterabfragen (Subselects ...

admin

Autor : admin
Kategorie: Software & Web-Development

Weihnachtsvirus: W32/Maldal.C@mm verbreitet sich per Mail

Wieder einmal ist nach Meldungen der Antivirenhersteller ein "Weihnachtsvirus" in freier Wildbahn beobachtet worden. Der W32/Maldal.C@mm getaufte Wurm verbreitet sich via E-Mail, indem er sich automatisch an alle Adressen des Outlook-Adressbuches verschic ...

admin

Autor : admin
Kategorie: Software & Web-Development

HTML5 verwenden oder nicht? html5please.us kann helfen

Welche HTML5-Funktionen können problemlos genutzt werden, welche besser nicht. html5please zeigt es dir. ...

admin

Autor : admin
Kategorie: Dies und Das

Seit 1. Mai kostenloser Webspace mit PHP4

Bei und gibts 15 MB Speicher, werbefrei, cgi-bin, PHP4, mySQL+ASP in Planung, subdomain.saxen.net(t), Webmail Account@saxen.net 6MB, leider nur 100 MB Transfer pro Monat, aber mehrere Accounts sind problemlos möglich, Privat- und Businesshomepage, keine E ...

admin

Autor : admin
Kategorie: Software & Web-Development

Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen