Anmelden an MySQL ohne Passwort
Ein Fehler in der freien Datenbank MySQL ermöglicht es Nutzern, die Authentifizierungsfunktionen zu umgehen und sich so ohne Kenntnis des Passwortes anzumelden.
Ein Fehler in der freien Datenbank MySQL ermöglicht es Nutzern, die Authentifizierungsfunktionen zu umgehen und sich so ohne Kenntnis des Passwortes anzumelden. Die Lücke soll laut Advisory des Sicherheitsdienstleisters NGSSoftware leicht ausnutzbar sein, allerdings funktioniere sie nicht mit dem üblichen MySQL-Client. Vielmehr müsse sich ein Angreifer einen eigenen Client stricken und gültige Benutzernamen kennen.
Durch einen weiteren ähnlichen Fehler ist es zudem möglich, einen Buffer Overflow zu provozieren, der sich aber nicht für Angriffe zum Einschleusen von Code ausnutzen lassen soll. Betroffen sind nur die Entwicklerversionen von MySQL 4.1 bis einschließlich 4.1.2 und 5.0. Version 4.1.3 und die neueste 5.0-Release enthalten die Lücken nicht mehr. NGSSoftware beschäftigt sich in einem eigenen Paper "Hackproofing MySQL" darüber hinaus mit weiteren Schwachstellen in MySQL
Siehe dazu auch: (dab)
- Security Advisory von NGSSoftware