1. PHP Magazin
  2. Software & Web-Development
  3. Sicherheitslücke in MySQL-Datenbank

Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

werzahlt.de geht online! Affili-Angebote für Webmaster

http://www.werzahlt.de ist seit Wochenende online. Klickt euch mal rein! Für Webworker und Webmaster. Hier findet Ihr die besten Affili-Angebote. ...

admin

Autor : admin
Category: Software & Web-Development

Neue Version des SSH-Clients PuTTY verfügbar

Der beliebte freie SSH-Client für Windows PuTTY steht in der Version 0.58 zum Download bereit, ebenso die als Sourcecode verfügbare Unix-Portierung. SSH besteht aus einer ganzen Kombination von Protokollen, die kryptographisch abgesicherte Kommunikation i ...

admin

Autor : admin
Category: Software & Web-Development

Strato löscht Datendanken – kein Backup?

Strato löscht Datendanken – kein Backup? mySQL-Datenbanken von 2.500 Kunden gelöscht. Wiederherstellung nicht möglich oder man gibt das Backup nicht raus? Strato hat (laut heise-online.de) 2.500 Kunden die Datenbank gelöscht. Die Daten sind unwiede ...

admin

Autor : admin
Category: Software & Web-Development

CDU fordert Konzeption für Computerausstattung an Schulen

Die Schulbildung müsse auf die raschen technologischen Veränderungen vorbereiten sowie auf den Bedarf der Wirtschaft und des Arbeitsmarktes ausgerichtet sein. ---> Morpheus ...

admin

Autor : admin
Category: Software & Web-Development

Die "Green Card" ist ein Flop - viele bereits wieder entlassen

Die 'Green Card' ist ein richtiger Flop. Es gibt nicht nur viel zu wenig Bewerber, sondern die Leute sind teilweise auch ungeeignet. Mittlerweile wurden sogar 500 von 8556 Leute 'vorübergehend arbeitslos'. Geplant war die 'Green Card' für 20000 Compu ...

admin

Autor : admin
Category: Software & Web-Development

Windows 7 für 35 Euro

Studenten können eine Upgrade-Version für einmalig 35 Euro herunterladen ...

admin

Autor : admin
Category: Miscellaneous

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release