MySQL no limbo da segurança, de novo

[ad#texto]

Parece que mais uma vez o MySQL foi alvo de uma grave falha de segurança, desta vez mesmo que seja digitada uma senha incorreta o MySQL a considera válida e garante o acesso ao atacante, até mesmo acesso de root.

Mesmo utilizando criptografia para as senhas armazenadas e um conjunto de caracteres aleatórios para evitar ataques do tipo de brute force uma falha interna (que não foi divulgada) permite que esse conjunto de checagens falhe.

A estimativa é que 1 para cada 256 tentativas de acesso libere o mesmo de forma errônea, o que podemos considerar como extremamente grave, pois qualquer script pode executar dezenas de milhares de tentativas de acesso em poucos segundos, basta saber o nome do usuário.

As versões do MySQL afetadas são as 5.1.61, 5.2.11, 5.3.5, 5.5.22 e anteriores, sendo executadas  Ubuntu, Arch Linux, openSUSE 12.1 e Fedora 16, as versões mais recentes já foram corrigidas para evitar esta falha de segurança.

Se você estiver preocupado e quiser testar o seu servidor pode utilizar este script para isso.

Fonte: Tecnoblog

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.