Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 045/2004

CERT-FI haavoittuvuustiedote 045/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

6.7.2004

Haavoittuvuus MySQL-tietokantaohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- ilman käyttäjän toimia
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

MySQL on laajasti käytössä oleva avoimeen lähdekoodiin perustuva tietokantaohjelmisto. MySQL-ohjelmistosta on löydetty haavoittuvuus.

Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista ohittaa MySQL-ohjelmiston salasanan todennusmekanismi ja näin todentaa itsensä ohjelmiston käyttäjäksi ilman kyseisen käyttäjän salasanaa. Samantyyppisellä menetelmällä hyökkääjän voi olla mahdollista aiheuttaa todennusmekanismille puskurinylivuototilanne. Haavoittuvuutta voidaan hyväksikäyttää tietyllä tavalla muokatulla todennuspaketilla.

HAAVOITTUVAT OHJELMISTOT:

  • MySQL 4.1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva MySQL-ohjelmisto versioon 4.1.3 tai sitä uudempaan.

LISÄTIETOA:

http://www.nextgenss.com/advisories/mysql-authbypass.txt

http://www.ngssoftware.com/papers/HackproofingMySQL.pdf

http://www.mysql.com

PÄIVITYSHISTORIA:

06.07.2004: Julkaistu
Sivua päivitetty 25.07.2007   Tulostusversio Tulostusversio