php-resource.de

Aktuelle Themen und News zu PHP / mySQL

Sicherheitslücke in MySQL-Datenbank

Berni | Neu | Beitrag gelesen 2128 gelesen |

 


Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de

Kommentare zum Artikel
Artikel kommentieren
 
Verwandte Beiträge
star Zends PHP-Entwicklungsumgebung unterstützt PHP 5
star 10 Terabyte Warez in Frankfurt am Main sichergestellt
star Alter Fehler in sendmail wird zum Sicherheitsproblem
star PHP 4.3.3 released!
star Mailfilter zum Schutz vor Sobig.F

 
Links zum Artikel

Weitere PHP-News und Artikel

Zends PHP-Entwicklungsumgebung unterstützt PHP 5

| Berni | Views

10 Terabyte Warez in Frankfurt am Main sichergestellt

| Berni | Views

Alter Fehler in sendmail wird zum Sicherheitsproblem

| Berni | Views

PHP 4.3.3 released!

| Berni | Views

Mailfilter zum Schutz vor Sobig.F

| Berni | Views

PHP Version 4.3.3RC4 veröffentlicht

| Berni | Views

Wurm jagt Wurm

| Berni | Views

W32.Blaster: Wurm-Fix zum Download

| Berni | Views

Navigation -> Seitenanzahl : (95)

 « Anfang ...  «  44 45 46 47 48 49 50 51 52 53 54 55 56  » ... Ende »

Über den Autor
Berni

Berni

Status
Premium Mitglied

Beruf
Selbstständig

Mitglied seit:
22.01.2001

letzte Aktivität
16.06.2019