1. PHP Magazin
  2. Software & Web-Development
  3. Sicherheitslücke in MySQL-Datenbank

Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zeichenkette in einem Datenbankfeld gespeichert. Ein Benutzer mit administrativem Zugriff auf die Datenbank und Rechten zum Anlegen und Löschen von Benutzer und Tabellen, kann ein Passwortfeld manipulieren und mit längeren Zeichenketten einen Buffer Overflow in der Funktion acl_init() provozieren. Die Zeichenkette muss dabei ein Vielfaches von acht sein. Ein Angreifer kann damit beliebigen Code auf dem Stack platzieren und im Kontext der Datenbank ausführen. In der Regel läuft die Datenbank als User mysql, in seltenen Fällen aber auch als root. Mehrere Exploits kursieren bereits in den entsprechenden Foren. Bedroht sind unter anderem sogenannte LAMP-Server, die auf Linux, Apache, MySQL und Perl oder PHP basieren und für verschiedenste Zwecke von Web-Hostern kostengünstig angeboten werden.

Betroffen sind die MySQL-Versionen bis einschließlich 4.0.14, sowie bis einschließlich 3.23.57 auf allen Plattformen. Die Datenbank-Entwickler haben eine korrigierte Version 4.0.15 zum Download bereit gestellt. Ein Patch für Version 4.0.14 ist ebenfalls verfügbar. Auch die Linux-Distributoren haben reagiert und ihre Pakete aktualisiert.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

Neues Urteil über 0190-Dialer

Das Landgericht Kiel hat im Rechtsstreit Telekom gegen Kunden zugunsten des Kunden entschieden. Dieser sollte 13.000 Euro dafür zahlen, dass er sich 17 Tage lang unwissend mit einem 0190-Dialer ins Internet einwählte. In der Begründung für die Entsc ...

admin

Autor : admin
Kategorie: Software & Web-Development

jQuery 1.5 deutlich schneller, deutlich flexibler

Das freien JavaScript-Framework jQuery wurde in der Version 1.5 veröffentlicht. ...

admin

Autor : admin
Kategorie: Dies und Das

Opera 6.0 Beta 1 für Windows erhältlich

Auf der Comdex 2001 in Las Vegas zeigt Opera die Version 6.0 des norwegischen Browsers Opera als erste Beta-Version. Das ist auch die erste Opera-Version, die auf Wunsch nicht mehr mit einer MDI-Bedienung daherkommt, sondern wie andere Applikationen für j ...

admin

Autor : admin
Kategorie: Software & Web-Development

JQuery, anonyme Funktionen und interessante Methoden

Das Webvideo von Paul Irish ist sowohl für Einsteiger als auch für fortgeschrittene Anwender interessant. ...

admin

Autor : admin
Kategorie: Software & Web-Development

PostgreSQL Beta 2 verfügbar

Das Datenbanksystem PostgreSQL ist in in der Version 8.4 Beta 2 erschienen. ...

admin

Autor : admin
Kategorie: Dies und Das

T-Online begräbt Infoseek und setzt auf Fast Search & Transfer

T-Online präsentiert ab dem 1. November 2001 eine neue Suchmaschine und besiegelt damit das Ende von Infoseek in Deutschland. T-Online erhofft sich von der neuen Suchmaschine zusätzliches E-Commerce-Potenzial. Die Suchergebnisse werden von Fast Search &am ...

admin

Autor : admin
Kategorie: Software & Web-Development

Magazin & Tutorials
Frase Inc
Frase AI hilft Ihnen, hochwertige SEO-Inhalte in Minuten statt in Stunden zu recherchieren
Boston, USA

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen