Дыры в защите популярной базы данных с открытым кодом MySQL может позволить злоумышленникам свершить атаку отказа от обслуживания или получить административный доступ к серверу БД. Об этом говорится в разосланном немецкой компанией, занимающейся вопросами безопасности, предупреждении. По всему миру сейчас проинсталлировано более 4 млн. серверов MySQL, поддерживающих в том числе крупные веб-сайты и деловые приложения.
Специалисты определили 4 отдельные уязвимости в коде, две из которых относятся к компоненту MySQL server, а две - к клиентской части БД. Все уязвимости могли быть использованы для выполнения атаки отказа в обслуживании против соответствующего компонента, используя ошибку для нанесения вреда серверу или клиенту. Наносимый вред может быть различным, от переполнения буфера до записи и выполнения зараженного кода на атакуемой машине. А использование этих дыр в комбинации позволяет атакующему входит в систему, запускающую серверное ПО MySQL или повышать уровень привилегий для своего доступа в систему.
Уязвимости исправлены в самой последней версии MySQL Database Server, поэтому специалисты по безопасности настоятельно рекомендуют обновить свои программные средства. "Залатанную" версию ПО можно скачать здесь www.mysql.com/downloads/mysql-3.23.html. Большинство продавцов ПО также выпустили предупреждения и обновления, исправляющие ошибки MySQL в их собственном ПО.
Источник: по материалам сайта CW360.