Categories: Negocios

Una vulnerabilidad en MySQL permite superar la verificación de contraseñas

Investigadores de seguridad han ofrecido detalles sobre una vulnerabilidad en MySQL para servidores que permitiría el acceso a las bases de datos de MySQL sin necesidad de teclear las credenciales de autenticación apropiadas.

La vulnerabilidad se ha identificado como CVE-2012-2122, afecta tanto a MySQL 5.1.63 como a 5.5.25 y fue descubierta el pasado mes de mayo, a pesar de lo cual la mayoría de los administradores de servidores parecen no conocer la problemática porque el registro de cambios de estas versiones ofrece muy poca información sobre el fallo de seguridad.

Hay que destacr por otro lado que la vulnerabilidad sólo puede explotarse si MySQL está basado en un sistema en el que la función memcmp () puede devolver valores fuera del rango -128 a 127; que sería el caso de los sistemas Linux que utilizan una librería GNU C SSE. Así lo explica Sergei Golubchik, coordinador de seguridad de MariaDB.

Si MySQL está basado en un sistema así, el código que compara el hash criptográfico de la contraseña introducida con el hash almacenado en la base de datos para una cuenta particular a veces permite la autenticación incluso sin la contraseña es incorrecta. Golubchik incluso ofrece probabilidades de éxito, que son de una vez cada 256 intentos, y dice que el fallo fue parcheado en las versiones de Maria DB 5.1.62, 5.2.12, 5.3.6 y 5.5.23 el pasado mes de abril.

También se ha publicado una lista de distribuciones Linux para las que antiguas versiones de MySQL resultaron ser vulnerables a este ataque, como las de 64-bit de Ubuntu 10.04, 10.10, 11.04, 11.10 y 12.04; la versión de 64-bit de OpenSuSE 12.1; las versiones de 64-bit de Debian y Fedora 16 y una versión sin especificar de Arch Linux.

La mayoría de los vendedores de Linux distribuyen creaciones pre-compiladas de MySQL a través de sus propios repositorios y por lo tanto los parches ya deben estar disponibles para la mayoría de las distribuciones más populares. Se ha advertido a los usuarios que actualicen a versiones no vulnerables, sobre todo ahora que el código del exploit es público.

ChannelBiz Redacción

La redacción de Channelbiz se compone de periodistas especializados en el ecosistema de partners y distribuidores de todo lo relacionado con las Tecnologías de la Información y Comunicaciones

Recent Posts

Zaltor se expande a Latinoamérica

El objetivo de su plan de crecimiento internacional es equiparar en un plazo de cinco…

2 días ago

Arrow y Cato Networks alcanzan un acuerdo de distribución en la península ibérica

Los socios de canal de España y Portugal podrán ofrecer la plataforma Cato SASE Cloud.

2 días ago

Llega Bitdefender GravityZone External Attack Surface Management

Bitdefender GravityZone EASM es una herramienta para empresas y proveedores de servicios gestionados que ayuda…

3 días ago

Acer lanzará un nuevo portal para revendedores a finales de año

Acer for Business Partner Portal promete acceso más rápido a ofertas, servicios de soporte y…

3 días ago

Charmex se convierte en distribuidor oficial para España de soluciones de AVer

Distribuirá su gama de productos audiovisuales, incluyendo cámaras PTZ, visualizadores y sistemas de colaboración.

4 días ago

Trend Micro actualiza su programa de partners

La compañía defiende un modelo de colaboración donde destaca "la creación de valor sostenible, a…

4 días ago