Oracle, actual propietario del software de
base de datos MySQL publicó en marzo
una serie de actualizaciones para la base de datos MySQL. En el boletín se
anunció que se solventaban dos fallos de seguridad.
Los parches de seguridad
publicados, que corrigen los errores #13510739 y #63775, carecían (y carecen de
manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a
pesar del escrúpulo por mantener esta información secreta, se les escapó un
detalle a la hora de generar el paquete de actualización. Dentro del código
fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo
que a primera vista parecía ser un archivo destinado a la realización
automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo
comprobar que se trataba de una prueba
de concepto que conseguía provocar una denegación de servicio en el sistema
de base de datos.
Según puede deducirse del código
fuente, para poder explotar esta vulnerabilidad es necesario estar autenticado
en el sistema y poseer los permisos necesarios para ejecutar ciertos comandos.
Las versiones afectadas por la
vulnerabilidad son todas las anteriores a MySQL 5.5.22.
Más información:
Oracle accidentally release MySQL
DoS proof of concept
D.1.3. Changes in MySQL 5.5.22 (21 March 2012)
MySQL Bug 13510739
Javier Rascón Mesa
No hay comentarios:
Publicar un comentario