martes, 16 de febrero de 1999

Ataques a sistemas con Mini-SQL

Una consulta remota a las estadísticas de este motor de
base de datos puede suministrar información sensible. Los
sistemas Unix que dispongan de este software pueden ser
motivo de acceso incontrolado a bases de datos, ataques de
denegación de servicios, y a exponer otras vulnerabilidades
de su sistema al ofrecer esta información.
Entre los datos sensibles que resultan expuestos se encuentra
la tabla de conexiones. Esta tabla es un finger que muestra
en todo momento los usuarios conectados al servidor, sus
direcciones, y las bases de datos a las que están accediendo.

Debido a que mSQL utiliza un sistema de autentificación que
se basa en los usuarios y sus direcciones, esta tabla revela
todos los datos necesarios para acceder a una base de datos
concreta.

Entre otra información sensible, a la que también se puede acceder,
destaca los datos sobre el número máximo de conexiones que
soporta el sistema y las conexiones actuales. Con esta
información se facilita el poder llevar a cabo con éxito un
ataque por denegación de servicio.

Otros datos accesibles a tener en cuenta son la versión que se
está utilizando de Mini-SQL, que pudiera dar lugar a ataques
basados en vulnerabilidades específicas de esa versión en
particular. En ese mismo sentido resulta peligroso el que se
pueda conocer el nombre y el id de usuario del proceso msqld,
ya que facilita el averiguar la versión del sistema operativo
que se está utilizando.

Para evitar los ataques se recomienda actualizarse a la última
versión de Mini-SQL, v.2.0.7, disponible desde el 15 de febrero.
En esta nueva versión se ha deshabilitado las estadísticas
remotas, con lo que se ataja de raíz todos los problemas
anteriormente comentados.

Mini-SQL v.2.0.7 disponible en:
http://www.hughes.com.au/software/msql2/msql-2.0.7.tar.gz

Más información:
KSR[T], información original: http://www.ksrt.org/adv10.html
Hughes Technologies, Mini-SQL: http://www.hughes.com.au



Bernardo Quintero