MySQL lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 11/6/2012

Udviklerne af MySQL og MariaDB har lukket et sikkerhedshul, der gør det muligt at logge ind med et forkert password. Kun nogle versioner er berørt.

Sårbarheden skyldes, at sammenligningen mellem det rigtige password og det, som brugeren har indtastet, fejler. Det sker kun i versioner, der er kompileret på en bestemt måde.

Fejlen er rettet i MySQL 5.1.63, 5.5.24 og 5.6.6, samt i MariaDB 5.1.62, 5.2.12, 5.3.6 og 5.5.23.

Ifølge sikkerhedsforsker HD Moore er MySQL til følgende operativsystemer sårbar:

Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ), OpenSuSE 12.1 64-bit MySQL 5.5.23-log, Fedora 16 64-bit og Arch Linux.

Anbefaling
Brugere af sårbare versioner bør opdatere til en rettet version. Alternativt kan man konfigurere systemet, så databaseserveren ikke svarer på opkald fra internettet, men kun fra det lokale netværk.

Links