Een zero-day beveiligingslek in MySQL, een opensource-managementsysteem voor relationele databases, maakt het mogelijk dat gebruikers beheerdersrechten krijgen. De kwetsbaarheid werd ontdekt door de bekende beveiligingsonderzoeker Kingcope. Om het lek te misbruiken moet een aanvaller toegang tot een MySQL database hebben via een gebruiker die over bepaalde rechten beschikt.
Vervolgens is het mogelijk een administrator-account aan te maken. "Normaliter zou Oracle voor MySQL-problemen een CVE-nummer toekennen. In dit geval zitten we met een tijdlimiet. Het is weekend en dit staat op springen, en de gevolgen zijn vrij ernstig", aldus Kurt Seifried van het Red Hat Team. Dat heeft CVE-nummer 2012-5613 aan het lek toegekend. MySQL wordt door zeer veel websites op het internet gebruikt.
Beveiligingsonderzoeker Eric Romang maakte onderstaande video waarin de exploit, waarvoor nog geen patch is, gedemonstreerd wordt.
Deze posting is gelocked. Reageren is niet meer mogelijk.