Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

Zend stellt WinEnabler für PHP vor

Zend bringt mit dem WinEnabler eine neue Lösung auf den Markt, mit der sich die Stabilität der Script-Sprache PHP in Windows-Umgebungen sicherstellen und die Performance erhöhen lassen soll. Dabei verspricht Zend eine Stabilität und Geschwindigkeit, die P ...

admin

Autor : admin
Kategorie: Software & Web-Development

HeidiSQL 5.1 ist fertig

Das freie MySQL-Frontend HeidiSQL ist in der Version 5.1 veröffentlicht worden. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Tools - man muss sie nur einzusetzen wissen.

Auf dem Markt gibt es eine unüberschaubare Menge an Tools, Scripte und Dienstleistungen. Google Street View und Google Maps sind heute kaum mehr wegzudenken. ...

phpler

Autor : phpler
Kategorie: Dies und Das

IT-Industrie erholt sich langsam

Das bisher schlimmste Jahr für die IT-Industrie geht dem Ende entgegen. Für 2002 wird der Branche eine langsame Erholung vorausgesagt. Das berichtet die IT-Fachzeitung Computerwoche in ihrer aktuellen Ausgabe und beruft sich dabei auf Zahlen des Marktfors ...

admin

Autor : admin
Kategorie: Software & Web-Development

Microsoft Office Keyboard kommt im Herbst 2001

Im Herbst 2001 will Microsoft das neue "Office Keyboard" ausliefern, das den Umgang mit Büro- und sonstigen Windows-Anwendungen erleichtern soll. Neben den bereits bekannten Multimediatasten dienen dabei auch die Funktions-Tasten der Tastatur dem schnelle ...

admin

Autor : admin
Kategorie: Software & Web-Development

Bekannte Suchmaschine auf dem Vormarsch: Nun ist man die Nummer eins

Die Suchmaschine "Google" ist neben ihrer Geschwindigkeit vor allem für die Qualität ihrer Ergebnisse bekannt. Durch die Übernahme des Usenet-Archivs von Deja ist Google zum Suchtool Nummer eins im Web avanciert. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen