Vážná chyba databáze MySQL

Robert van der Meulen objevil závažnou chybu populární databáze MySQL. Díky ní útočník může získat cizí účet, ...


Robert van der Meulen objevil závažnou chybu populární databáze MySQL. Díky ní
útočník může získat cizí účet, aniž by znal heslo a to během několika sekund.
Chyba je to naprosto hloupá a začátečnická. Programátoři opomněli při
porovnávání hesla a vstupu zkontrolovat, zda jsou oba řetězce stejně dlouhé.
Takže pokud útočník zašle jako heslo jedno písmeno, po úpravě se porovná s
prvním písmenem zakódovaného hesla. A pokud jsou obě hodnoty stejné, přístup je
potvrzen. Proto je pro průnik třeba maximálně 32 pokusů.
Ač předchozí text vypadá hrůzostrašně, statisíce internetových serverů (u nás
například Post nebo Billboard), které tuto jinak kvalitní databázi používají,
pravděpodobně nejsou ohroženy. První podmínkou totiž je použít existující účet.
Jeho název se ale dá odhadnout z e-mailové adresy. Druhá podmínka je o poznání
obtížnější. Při přihlašování se totiž kontroluje, zda je povolen přístup z
daného hostitele. Většina správců povoluje přístup pouze z lokálního počítače.
Proto je většina komerčních serverů v bezpečí.
Navíc firma TCX Consulting, která je tvůrcem databáze, rychle zareagovala a
vytvořila opravenou verzi 3.22.32. Pokud používáte starší verzi, měli byste
rychle přejít na novou. Zvláště mají-li na vašem serveru účet cizí uživatelé.
Poznámka na okraj: Výpadek serveru Post.cz, k němuž došlo na začátku března,
neměl podle představitelů společnosti Globe Internet nic společného s chybou v
MySQL. Šlo o změny systému, které by do budoucna měly umožnit snazší
škálovatelnost jinak mnohdy přetíženého serveru.
0 0592 / pah









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.