Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MySQL Full-Disclosure - door Oracle?!

15-05-2010, 18:19 door Bitwiper, 3 reacties
Niet de Full-Disclosure maillijst, maar Oracle zelf vertelt over security problemen in MySQL voordat ze versie 5.1.47 daarvan heeft uitgebracht: http://dev.mysql.com/doc/refman/5.1/en/news-5-1-47.html.

Snapt u het nog? Als voorbeeld 1 van de security fixes:
C.1.1. Changes in MySQL 5.1.47 (Not yet released)
[knip]
- Security Fix: The server was susceptible to a buffer-overflow attack due to a failure to perform bounds checking [tekst verwijderd 2010-05-18] which could be exploited by an authenticated user to inject malicious code. (Bug#53237, CVE-2010-1850)
[knip]
Bron: (Duitstalig) http://www.heise.de/security/meldung/Offene-MySQL-Sicherheitsluecken-1000561.html
(Engelstalig) http://www.h-online.com/news/item/Open-MySQL-security-holes-1000709.html

Wijziging 2010-05-18 11:01 - Ondertussen zijn op de betreffende mysql.com webpage de security fixes verwijderd, daarom haal ik hierboven de belangrijkste details weg. Overigens betrekkelijk zinloos want de mysql page staat momenteel nog in de cache van Google, en kwaadwillenden hebben dit natuurlijk allang gezien. De 3 security fixes betreffen overigens CVE-2010-1048 t/m 1050 (die op de CVE website momenteel nog een "candidate status" hebben, d.w.z. er worden geen gegevens van vermeld).
Reacties (3)
15-05-2010, 23:05 door Anoniem
Wat valt er niet te begrijpen aan een buffer overflow?
16-05-2010, 10:54 door Anoniem
Het gaat er over dat deze informatie nog niet buiten had mogen worden gebracht!
De bugs tracker geeft deze informatie niet vrij, maar de changelog wel (oeps)!
16-05-2010, 15:07 door Anoniem
Maw, ze leveren zelf de bug, die een mooie 0day kan opleveren.

Zullen hoop rusjes wel meteen aan het testen gegaan zijn :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure