Categories: Negocios

Una vulnerabilidad en MySQL permite superar la verificación de contraseñas

Investigadores de seguridad han ofrecido detalles sobre una vulnerabilidad en MySQL para servidores que permitiría el acceso a las bases de datos de MySQL sin necesidad de teclear las credenciales de autenticación apropiadas.

La vulnerabilidad se ha identificado como CVE-2012-2122, afecta tanto a MySQL 5.1.63 como a 5.5.25 y fue descubierta el pasado mes de mayo, a pesar de lo cual la mayoría de los administradores de servidores parecen no conocer la problemática porque el registro de cambios de estas versiones ofrece muy poca información sobre el fallo de seguridad.

Hay que destacr por otro lado que la vulnerabilidad sólo puede explotarse si MySQL está basado en un sistema en el que la función memcmp () puede devolver valores fuera del rango -128 a 127; que sería el caso de los sistemas Linux que utilizan una librería GNU C SSE. Así lo explica Sergei Golubchik, coordinador de seguridad de MariaDB.

Si MySQL está basado en un sistema así, el código que compara el hash criptográfico de la contraseña introducida con el hash almacenado en la base de datos para una cuenta particular a veces permite la autenticación incluso sin la contraseña es incorrecta. Golubchik incluso ofrece probabilidades de éxito, que son de una vez cada 256 intentos, y dice que el fallo fue parcheado en las versiones de Maria DB 5.1.62, 5.2.12, 5.3.6 y 5.5.23 el pasado mes de abril.

También se ha publicado una lista de distribuciones Linux para las que antiguas versiones de MySQL resultaron ser vulnerables a este ataque, como las de 64-bit de Ubuntu 10.04, 10.10, 11.04, 11.10 y 12.04; la versión de 64-bit de OpenSuSE 12.1; las versiones de 64-bit de Debian y Fedora 16 y una versión sin especificar de Arch Linux.

La mayoría de los vendedores de Linux distribuyen creaciones pre-compiladas de MySQL a través de sus propios repositorios y por lo tanto los parches ya deben estar disponibles para la mayoría de las distribuciones más populares. Se ha advertido a los usuarios que actualicen a versiones no vulnerables, sobre todo ahora que el código del exploit es público.

ChannelBiz Redacción

La redacción de Channelbiz se compone de periodistas especializados en el ecosistema de partners y distribuidores de todo lo relacionado con las Tecnologías de la Información y Comunicaciones

Leave a Comment
Share
Published by
ChannelBiz Redacción
Tags: mysqlvulnerabilidad
12 años ago

Recent Posts

Cognizant obtiene la certificación “Great Place To Work” en España

También ha sido reconocida por su empleados como el "mejor lugar para trabajar" en otros…

4 días ago

V-Valley refuerza su cartera con productos de Canonical

El distribuidor de tecnología avanza en las áreas de cloud computing, contenedores, virtualización, inteligencia artificial…

4 días ago

ArrowSphere AI mejora sus funcionalidades

Arrow Electronics espera que la IA generativa aumentada marque un cambio en las interacciones entre…

4 días ago

Esprinet confirma sus expectativas para el ejercicio 2024

El EBITDA ajustado de este año debería situarse entre los 66 y los 71 millones…

6 días ago

IBM reúne a sus partners en torno a la Ecosystem Summit 2024

El Gigante Azul busca "construir un ecosistema de partners fuerte y capacitado, que pueda responder…

1 semana ago

Jerome Jullien dirigirá en EMEA el área de Canales y Alianzas de Proofpoint

Este experto del sector tecnológico ha pasado previamente por compañías como Vectra AI, Nokia, Riverbed…

1 semana ago