6 de diciembre de 2016

MuyComputerPRO

Una vulnerabilidad en MySQL permite ganar acceso root

Una vulnerabilidad en MySQL permite ganar acceso root

Una vulnerabilidad en MySQL permite ganar acceso root
junio 11
12:22 2012

Varios exploits para un fallo de autenticación en MySQL se están extendiendo en diversos canales en Internet, en parte porque este error es especialmente sencillo de aprovechar para ganar acceso root a la base de datos.

El único factor que disminuye su peligrosidad es el hecho de que depende de la librería C con la que se implementó MySQL. Este “bypass” del sistema de contraseñas tiene ya asignada un código de vulnerabilidad, la CVE-2012-2122, y permite que un atacante logre acceso root a la base de datos repitiendo varias veces el intento de acceder a dicha cuenta con una contraseña incorrecta.

La vulnerabilidad ha sido detallada por el coordinador de seguridad de MariaDB -un fork de MySQL, y se debe a un error en el llamado error de casting al comparar la contraseña esperada con la contraseña introducida.

Oracle ya corrigió el problema de este bug -que codificó como 64884– tanto en MySQL 5.1.63 como en MySQL 5.5.24, ambos lanzados hace un mes. La corrección consiste en un simple cambio en una línea, y un parche similar se puede aplicar al código fuente de MariaDB.

Distribuciones como Ubuntu (10.04, 10.10, 11.04, 11.10 y 12.04), openSUSE 12.1 64 bits, Fedora 16 64 bits y Arch Linux tienen esta vulnerabilidad, mientras uqe Debian, RHEL, CentOS y Gentoo parecen estar a salvo. Lo ideal es actualizar los paquetes en los sistemas afectados cuanto antes.

About Author

Tomas Cabacas

Tomas Cabacas

Articulos relacionados

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!