MySQL-Releases stopfen Sicherheitslöcher
Neue MySQL-Versionen schließen Sicherheitslücken und bringen Erweiterungen von Leistungsmerkmalen mit.
Die MySQL-Entwickler legen mit der aktuellen, stabilen Version 5.0.21 ein Bugfix-Release nach, das nicht nur erweiterte Leistungsmerkmale etwa bei der Cluster-Unterstützung mitbringt, sondern auch Bugs korrigiert und Sicherheitslöcher schließt. Kurz zuvor hat von Stefano Di Paola zwei Exploits veröffentlicht, die die Schwachstellen zum Auslesen von Informationen beziehungsweise zum Provozieren eines Pufferüberlaufes ausnutzen.
Durch präparierte Pakete eines an der Datenbank angemeldeten Benutzers an den Netzwerk-Port, auf dem ein MySQL-Server lauscht, kann der Server ungewollt Informationen preisgeben. Dieselbe Schwachstelle im Netzwerkcode von MySQL könnten Angreifer nutzen, um einen Pufferüberlauf auszulösen, über den sich möglicherweise auch Code einschleusen lässt. Über weitere Schwachstellen, die etwa das Unterschieben von beliebigen PHP-Skripten in einer Webanwendung zulassen, ließe sich diese Lücke sehr einfach ausnutzen.
Das ausführlichere Changelog zur Version 5.0.21 von MySQL listet noch weitere Änderungen. Übersichten zu den Bugfixes in den in Kürze verfügbaren Versionen 4.1.19 sowie 5.1.10 stehen ebenfalls bereit.
Die MySQL-Entwickler beseitigen die Fehler mit den Versionen 4.0.27, 4.1.19, 5.0.21 und 5.1.10. Benutzer der Vorgängerversionen sollten zügig die neuen Pakete installieren.
Siehe dazu auch: (dmk)
- MySQL COM_TABLE_DUMP Information Leakage and Arbitrary command execution von Stefano Di Paola auf Bugtraq
- Download der atuellen MySQL-Versionen
