Ubuntu liberó una actualización para mysql-dfsg. Esta repera el problema de autenticación de MySQL que se genera al insertar caracteres nulos en las consultas.
Ubuntu Linux 4.10 | MySQL-server | < | 4.0.20-2ubuntu1.7 |
Ubuntu Linux 5.04 | MySQL-server | < | 4.0.23-3ubuntu2.2 |
Ubuntu Linux 5.10 | MySQL-server | < | 4.0.24-10ubuntu2.1 |
Se descubrió una forma de evadir la autenticación de MySQL al realizar consultas. La vulnerabilidad es explotada al realizar consultas locales insertando caracteres nulos en la “cadena de consulta” (aun cuando se comenta dicha cadena), lo que ocasionaría que la consulta quede incompleta.
Esta vulnerabilidad sólo afecta si se habilita el parámetro “log” en la configuración de MySQL
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT