Oracle, actual propietario del software de base de datos MySQL publicó en marzo una serie de actualizaciones para la base de datos MySQL. En el boletín se anunció que se solventaban dos fallos de seguridad.

Autor: Javier Rascón Mesa || Fuente: http://www.hispasec.com/unaaldia/4931

Los parches de seguridad publicados, que corrigen los errores #13510739 y #63775, carecían (y carecen de manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a pesar del escrúpulo por mantener esta información secreta, se les escapó un detalle a la hora de generar el paquete de actualización. Dentro del código fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo que a primera
vista parecía ser un archivo destinado a la realización automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo comprobar que se trataba de una prueba de concepto que conseguía provocar una denegación de servicio en el sistema de base de datos.

Según puede deducirse del código fuente, para poder explotar esta vulnerabilidad es necesario estar autenticado en el sistema y poseer los permisos necesarios para ejecutar ciertos comandos.

Las versiones afectadas por la vulnerabilidad son todas las anteriores a MySQL 5.5.22.

Más información:
Oracle accidentally release MySQL DoS proof of concept
http://www.h-online.com/security/news/item/Oracle-accidentally-release-MySQL-DoS-proof-of-concept-1526146.html

D.1.3. Changes in MySQL 5.5.22 (21 March 2012)
http://dev.mysql.com/doc/refman/5.5/en/news-5-5-22.html

MySQL Bug 13510739
http://pastebin.com/tCxNTD96

Autor
Javier Rascón Mesa
jrascon@hispasec.com

Fox TroopDesarrolloSeguridadSoftware LibreOracle, actual propietario del software de base de datos MySQL publicó en marzo una serie de actualizaciones para la base de datos MySQL. En el boletín se anunció que se solventaban dos fallos de seguridad. Autor: Javier Rascón Mesa || Fuente: http://www.hispasec.com/unaaldia/4931 Los parches de seguridad publicados, que corrigen los errores...comunidad virtual para compartir y difundir: información, conocimiento y experiencias relacionadas con las Tecnologías de la Información y la Comunicación.