Die Entwickler des freien Forks MariaDB haben für eine kürzlich veröffentlichte Sicherheitslücke in der freien Datenbank MySQL Korrekturen bereitgestellt. Sie beheben den Speicherüberlauf CVE 2012-5579, durch den ein Angreifer den Datenbankserver beenden oder mit dessen Rechten beliebigen Shell-Code ausführen kann. Laut den MariaDB-Entwicklern ist eine andere, separat gemeldete Lücke (CVE 2012-5611) nur ein Duplikat davon.

Bei einem weiteren Problem (CVE 2012-5613) handelt es sich nach ihrer Auffassung nicht um einen Fehler im Code der Datenbank, sondern um ein dokumentiertes Verhalten des Servers, das nur im Falle einer Fehlkonfiguration ausgenutzt werden könne.

Hingegen haben die MariaDB-Entwickler die CVEs 2012-5612 (Heap Overrun) und 2012-5614 (Denial of Service durch ein manipuliertes Kommunikationspaket) bestätigt. Allerdings sei eine angebliche Zero-Day-Lücke, durch die sich ermitteln lässt, welche MySQL-Benutzer es gibt, seit rund zehn Jahren bekannt.

Pakete seiner Versionen 5.1, 5.2, 5.3 und 5.5, in denen CVE 2012-5579 beseitigt ist, stellt MariaDB zum Download bereit. Vom MySQL-Hersteller Oracle sind bisher weder die Lücken bestätigt noch korrigierte Software angeboten worden.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE