Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1040

[Generic/MySQL] Schwachstellen in der Client-Bibliothek
(2002-12-13 07:30:55.876734+00)

Quelle: http://cert.uni-stuttgart.de/archive/vulnwatch/2002/12/msg00009.html

In der Bibliothek für den Client-Zugriff auf MySQL-Datenbankserver wurden zwei Pufferüberlauffehler entdeckt.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Speziell gestaltete Antworten von einem MySQL-Server (z.B. über TCP-Port 3306)

Auswirkung
Ein Angreifer kann wahrscheinlich beliebigen Maschinencode mit den Rechten des Prozesses, der auf die MySQL-Datenbank zugreift, ausführen.

Typ der Verwundbarkeit
buffer overflow bugs

Gefahrenpotential
hoch bis sehr hoch (abhängig von der Anwendung, die den MySQL-Zugriff nutzt).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
In der Client-Bibliothek, die zum Zugriff auf MySQL-Server verwendet wird, wurden zwei Pufferüberlauffehler entdeckt. Angreifer, die Kontrolle über den kontaktierten MySQL-Server besitzen (oder Zugriffe zu einem unter ihrer Kontrolle stehenden System umleiten können), sind über die Schwachstelle sehr wahrscheinlich in der Lage, beliebigen Maschinencode mit den Rechten der Client-Anwendung auf dem Client-System auszuführen. (Dies können auch root-Rechte sein, falls z.B. ein PAM-Modul auf eine MySQL-Datenbank zugreift.)

Gegenmaßnahmen

Achtung: Statisch gegen die MySQL-Bibliothek gelinkte Programme müssen neu gelinkt werden, um die Schwachstelle auszumerzen.

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1040