|
Lücken in Datenbank MySQL gefährden ServerSie befinden sich: Home > Webmaster News
Der Sicherheitsspezialist Stefano Di Paola hat mehrere Schwachstellen in der Open-Source-Datenbank MySQL aufgedeckt, die ein auf dem System angemeldeter Nutzer zum Erhöhen seiner Zugriffsrechte missbrauchen kann. Di Paola hat dazu auch bereits zwei Proof-of-Concept-Exploits veröffentlicht. Die Fehler sind in den Versionen für den produktiven Einsatz 4.0.23 und 4.1.10 und früher enthalten. Die Lücken sollen in den Versionen 4.0.24 und 4.1.10a beseitigt sein. Der erste Fehler findet sich in der Funktion udf_init() und ermöglicht einem Angreifer das Laden und Ausführen eigener Bibliotheken mit den Rechten des MySQL -Daemons. Der Angreifer muss dazu allerdings INSERT- und DELETE-Rechte in der Datenbank besitzen. Mit bestimmten CREATE-FUNCTION-Befehlen sollen Anwender zudem eigenen Code in das System einbringen und starten können. Auch hier sind wieder INSERT- und DELETE-Rechte notwendig. Die letzte Schwachstelle beruht auf dem temporären Anlegen von Dateien mit dem Befehl CREATE TEMPORARY TABLE. Mit einer Sym-Link-Attacke lassen sich auf dem Server so beliebige Dateien überschreiben, etwa um das System zu beschädigen. Siehe dazu auch:
Eingetragen am 11.03.2005 
Letzten Webmaster News 05.08.2024 Schreib ein Kommentar |
||||||||
|
|||||||||
|
|
