Anmelden an MySQL ohne Passwort

society

Registered User
Ein Fehler in der freien Datenbank MySQL ermöglicht es Nutzern, die Authentifizierungsfunktionen zu umgehen und sich so ohne Kenntnis des Passwortes anzumelden. Die Lücke soll laut Advisory des Sicherheitsdienstleisters NGSSoftware leicht ausnutzbar sein, allerdings funktioniere sie nicht mit dem üblichen MySQL-Client. Vielmehr müsse sich ein Angreifer einen eigenen Client stricken und gültige Benutzernamen kennen.

Durch einen weiteren ähnlichen Fehler ist es zudem möglich, einen Buffer Overflow zu provozieren, der sich aber nicht für Angriffe zum Einschleusen von Code ausnutzen lassen soll. Betroffen sind nur die Entwicklerversionen von MySQL 4.1 bis einschließlich 4.1.2 und 5.0. Version 4.1.3 und die neueste 5.0-Release enthalten die Lücken nicht mehr. NGSSoftware beschäftigt sich in einem eigenen Paper "Hackproofing MySQL" darüber hinaus mit weiteren Schwachstellen in MySQL

Quelle Heise....


@mbromme bastelst du dann wieder rpm updates für die vserver? (suse nicht vergesse hehehehe) ? :)
 

society

Registered User
habs verlesen den fehler betreffen nur die alpha und beta releases von mysql :) also ist eigentlich keine betroffen.....


@derfalk: so viel ich weiß sind das die gleichen rpms :) aber mbromme macht das privat und nochmals danke für die updates! :)
 

Huschi

Moderator
Staff member
DerFalk said:
und für die "normalen" Rootserver von S4Y? Bastelt er da auch für?
Für die Rootserver von S4Y brauchst Du keine 'speziellen RPMs'. Dort kannst Du die normalen Distributions RPMs und Patches einspielen.

huschi.
 

society

Registered User
nuja du solltest natürlich dann auch wieder die patches für confixx einspielen ala suexec :) aber dazu gibt es eine nette installationsanleitung von confixx selber :)
 

Top