[GuadaWireless] Vulnerabilidades en MySql
Miguel Seuma
mseuma en gmail.com
Lun Ago 21 08:56:48 CEST 2006
Madrid, 18 de agosto de 2006 - MySQL, el popular sistema de gestión de base
de datos de código abierto, ha anunciado la corrección de dos
vulnerabilidades en su próxima versión 5.0.25.
La primera vulnerabilidad permitiría a un usuario acceder a una rutina
almacenada a través del comando GRANT EXECUTE, y ejecutarla con los
privilegios del usuario original que definió dicha rutina.
La segunda vulnerabilidad afecta a Linux y aquellos otros sistemas que
distinguen entre mayúsculas y minúsculas (case-sensitive). En estos casos,
un usuario con derechos sobre una base de datos puede crear o acceder a
diferentes bases de datos cuyo nombre sea el mismo que la original, pero
donde una o más letras difieran por estar en mayúsculas o minúsculas. En
determinadas circunstancias, un usuario podría acceder a bases de datos a
las que no está autorizado.
En ambos casos las vulnerabilidades requieren que sean aprovechadas por
usuarios con acceso autenticado al sistema, lo que minimiza el riesgo de
sufrir ataques indiscriminados por parte de terceros.
Más detalles sobre las vulnerabilidades y otras correcciones que incorporará
MySQL 5.0.25 se encuentran en el aviso original:
*http://dev.mysql.com/doc/refman/5.0/en/news-5-0-25.html*<http://dev.mysql.com/doc/refman/5.0/en/news-5-0-25.html>
Saludos.
Miguel Seuma Simó
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://guadawireless.net/pipermail/guadawireless/attachments/20060821/a69dbf0f/attachment-0001.htm
Más información sobre la lista de distribución guadawireless