Actualización a MySQL 3.23.33

Las versiones de MySQL previas a la 3.23.33 tienen varios problemas de
seguridad.
MySQL es una base de datos muy popular en el mundo UNIX por su gran
eficiencia, fiabilidad y velocidad. Se distribuye en código fuente, y
sus autores han cambiado recientemente su licencia a GNU GPL.

Las versiones previas a la 3.23.33 tienen varios problemas de seguridad:

* El comando «SHOW GRANTS» puede ser ejecutado por cualquier usuario
con acceso a la base de datos. De esta forma se pueden obtener la
lista de usuarios de la base de datos, así como sus claves cifradas.

Las claves pueden descifrarse utilizando diversas herramientas
disponibles de forma pública.

* Existe un desbordamiento de búfer que permite la ejecución de código
arbitrario en el servidor, con los privilegios del usuario que ejecuta
la base de datos. Aunque no se trate de «root», se tendrá acceso a
los ficheros de la base de datos, y se puede intentar subir de
privilegio manipulándola o intentando aprovechar ataques accesibles
localmente.

* Existe un desbordamiento de búfer en «DROP DATABASE».

Más información:

MySQL
http://www.mysql.com/

DSA-013 MySQL: remote buffer overflow
http://www.debian.org/security/2001/dsa-013

F.2.2 Changes in release 3.23.33
http://www.mysql.com/doc/N/e/News-3.23.33.html

Acerca de Hispasec

Hispasec Ha escrito 6985 publicaciones.

• View all posts by Hispasec →
• Blog