Corsi on-line

Pericolosa vulnerabilità per MySQL

Alcune delle versioni più datate di MySQL sono affette da una vulnerabilità in grado di mettere a rischio i dati gestiti attraverso questo DBMS e di conseguenza anche le applicazioni destinate ad interagire con esso; alla base di tutto vi sarebbe un bug attraverso il quale un utente malintenzionato potrebbe acquisire privilegi praticamente illimitati ripetendo poche centinaia di volte un tentativo di autenticazione.

La problematica riguarda anche MariaDB, il fork di MySQL realizzato al di fuori del patrocinio di Oracle, per il Database server più utilizzato della Rete le release interessate sarebbero la 5.1.61, la 5.2.11, la 5.3.5 e la 5.5.22; la vulnerabilità coinvolgerebbe direttamente anche alcune distribuzioni di Linux come per esempio Ubuntu dalla 10.04 alla 12.04, OpenSuse (release 12.1) e Fedora.

In pratica il noto Database Manager e la sua variante creata a partire dal sorgente originale, sarebbero affetti da un malfunzionamento a carico del meccanismo per la verifica della password e della funzionalità memcmp() per il confronto tra sequenze di bytes; in pratica un ipotetico attaccante avrebbe più o meno una possibilità su 256 di accedere ai database senza dover conoscere la password utilizzata.

I tentativi di autenticazione non autorizzati andrebbero operati utilizzando un nome utente realmente valido per l’installazione che si tenta di violare; un requisito che potrebbe non ostacolare il lavoro del cracker, si pensi per esempio allo username “Root” comunemente diffuso indipendentemente dalla piattaforma di riferimento che ospita il DBMS.

 

Post correlati
  • Anonimo

    non c’è la possibilità, come sui bankomat, che es al terzo tentativo errato si blocca il tutto (mangiandoti il bankomat)?

  • Anonimo

    Oppure si potrebbe stabilire un intervallo di tempo tra un tentativo di login e il successivo.

I più letti del mese
Tematiche