MariaDB schließt Zero-Day-Lücke in MySQL
Die Entwickler des MySQL-Clones MariaDB haben eine Sicherheitslücke in der freien Datenbank geschlossen, die kürzlich bekannt wurde. Bei einem weiteren Bug soll es sich jedoch nur um eine fehlerhafte Serverkonfiguration handeln.
- Christian Kirsch
Für eine kürzlich veröffentlichte Sicherheitslücke in der freien Datenbank MySQL haben die Entwickler des freien Forks MariaDB Korrekturen bereitgestellt. Sie beheben den Speicherüberlauf CVE 2012-5579, durch den ein Angreifer den Datenbankserver beenden oder beliebigen Shell-Code mit dessen Rechten ausführen kann. Eine andere, separat gemeldete Lücke (CVE 2012-5611) ist laut den MariaDB-Entwicklern nur ein Duplikat davon.
Nach ihrer Auffassung handelt es sich bei einem weiteren Problem (CVE 2012-5613) nicht um einen Fehler im Code der Datenbank. Vielmehr sei es ein dokumentiertes Verhalten des Servers, das nur im Falle einer Fehlkonfiguration ausgenutzt werden könne. Hierbei geht es um das FILE-Privilege, das es Anwendern ermöglicht, Dateien in die Datenbank zu laden oder von MySQL aus im lokalen Dateisystem anzulegen. Dieses Recht sollten laut Handbuch höchstens Datenbankadministratoren besitzen. Sergei Golubchik, der Sicherheitsfachmann von MariaDB, weist außerdem daraufhin, dass sich mit der Serveroption --secure-file-priv die Dateioperationen auf ein Verzeichnis beschränken lassen.
Bestätigt haben die MariaDB-Entwickler hingegen die CVEs 2012-5612 (Heap Overrun) und 2012-5614 (Denial of Service durch ein manipuliertes Kommunikationspaket). Seit rund zehn Jahren bekannt sei allerdings eine angebliche Zero-Day-Lücke, durch die sich ermitteln lässt, welche MySQL-Benutzer es gibt.
MariaDB stellt Pakete seiner Versionen 5.1, 5.2, 5.3 und 5.5, in denen CVE 2012-5579 beseitigt ist, zum Herunterladen bereit. Vom MySQL-Hersteller Oracle hat bislang weder die Lücken bestätigt noch korrigierte Software angeboten. (ck)
