1. PHP Magazin
  2. Software & Web-Development
  3. Sicherheitslücke in MySQL-Datenbank

Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

Linux-Anbieter planen angeblich gemeinsame Distribution

Caldera, Conectiva, SuSE und Turbolinux wollen kooperieren Die Linux-Distributoren Caldera, Conectiva, SuSE und Turbolinux wollen ihre Linux-Entwicklung zusammenlegen und morgen eine gemeinsame Linux-Distribution ankündigen, das berichtet die US-S ...

admin

Autor : admin
Category: Software & Web-Development

Alle Download-Moeglichkeiten aus dem Internet sollen bezahlt werden

Jeder der Downloads im Internet anbietet, soll Lizenzgebuehren bezahlen. Das fordert die Firma E-Data. Die Firma hat ein Patent auf Software-Downloads. Der Rechtsstreit geht darum, welche Bereiche durch dieses Patent abgedeckt werden. ...

admin

Autor : admin
Category: Software & Web-Development

Bot registriert sich in mehreren tausend phpBB-Foren

Nachdem im Usenet bereits vor 14 Tagen auf einen phpBB-Bot hingewiesen wurde, der sich als Anwender mit dem Namen FuntKlakow registrierte, spekulieren nun weitere Foren und Blogs über seine Funktion und eine mögliche Vorbereitung eines großangelegten Angr ...

admin

Autor : admin
Category: Software & Web-Development

Serverausfall bei Puretec

Tja, leider hatte Puretec gestern einen kompletten Serverausfall. Unsere Seiten waren daher von 12:oo Uhr bis ca. 17:oo Uhr nicht erreichbar. Auf unsere Nachfrage hin bekamen wir zur Antwort:" Die Server werden gerade mit mehr RAM ausgestattet, dies dauer ...

admin

Autor : admin
Category: Software & Web-Development

PHP oder Spanisch lernen? Oder doch beides?

Fremdsprachen sind für Entwickler enorm wichtig. Ohne Englisch geht fast nichts. ...

admin

Autor : admin
Category: Software & Web-Development

Apache 2.0 beta

Ein Jahr nach Erscheinen der ersten Alpha-Version von Apache 2.0 beginnt mit der Version 2.0.16 die öffentliche Betatestphase des freien Webservers. Gegenüber dem aktuellen Apache 1.3 ist die Version 2.0 grundlegend überarbeitet; große Teile des Codes sin ...

admin

Autor : admin
Category: Software & Web-Development

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release