[Generic/MySQL] Schwachstellen in der Client-Bibliothek
(2002-12-13 07:30:55.876734+00)
Quelle:
http://cert.uni-stuttgart.de/archive/vulnwatch/2002/12/msg00009.htmlIn der Bibliothek für den Client-Zugriff auf MySQL-Datenbankserver wurden zwei Pufferüberlauffehler entdeckt.
Betroffene Systeme
- MySQL-Clients mit der Client-Bibliothek in den Versionen der 3.23-Serie bis einschließlich 3.23.53a
- MySQL-Clients mit der Client-Bibliothek in den Versionen der 4.x-Serie bis einschließlich 4.0.5a
Nicht betroffene Systeme
- Die Client-Bibliothek aus MySQL 3.23.54.
- Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.
Einfallstor
Speziell gestaltete Antworten von einem MySQL-Server (z.B. über TCP-Port 3306)
Auswirkung
Ein Angreifer kann wahrscheinlich beliebigen Maschinencode mit den Rechten des Prozesses, der auf die MySQL-Datenbank zugreift, ausführen.
Typ der Verwundbarkeit
buffer overflow bugs
Gefahrenpotential
hoch bis sehr hoch (abhängig von der Anwendung, die den MySQL-Zugriff nutzt).
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
In der Client-Bibliothek, die zum Zugriff auf MySQL-Server verwendet wird, wurden zwei Pufferüberlauffehler entdeckt. Angreifer, die Kontrolle über den kontaktierten MySQL-Server besitzen (oder Zugriffe zu einem unter ihrer Kontrolle stehenden System umleiten können), sind über die Schwachstelle sehr wahrscheinlich in der Lage, beliebigen Maschinencode mit den Rechten der Client-Anwendung auf dem Client-System auszuführen. (Dies können auch root-Rechte sein, falls z.B. ein PAM-Modul auf eine MySQL-Datenbank zugreift.)
Gegenmaßnahmen
- Upgrade auf MySQL 3.23.54.
Achtung: Statisch gegen die MySQL-Bibliothek gelinkte Programme müssen neu gelinkt werden, um die Schwachstelle auszumerzen.
(fw)Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1040