|
ชื่อ: Multiple vulns in
MySQL
เผยแพร่เมื่อ: 17 ธันวาคม 2545
ชนิด: ช่องโหว่ของโปรแกรม
นักวิจัยด้านความปลอดภัยเตือนให้ผู้ดูแลระบบทำการปรับปรุงเครื่องให้บริการฐานข้อมูล
MySQL ให้ทันสมัย เนื่องจากมีการค้นพบข้อบกพร่องสำคัญทางความปลอดภัยที่สร้างความยุ่งยากจำนวนหนึ่ง
ข้อบกพร่องทั้งหลายสามารถส่งผลให้ผู้บุกรุกเข้ามาทำลายระบบฐานข้อมูลซึ่งเป็นเวอร์ชันที่เปิดเผยซอสโค้ดที่เป็นที่รู้จักกันแพร่หลายและไม่ได้ติดตั้ง
patch และสามารถนำโค้ดอันตรายมาใส่ลงในเครื่องให้บริการ หรือแฮ็ก (hack)
เข้าไปยังชื่อบัญชีต่างๆโดยไม่ต้องใส่รหัสผ่านได้เลย นี่เป็นคำเตือนจาก
German firm e-matters
Stefan Esser ซึ่งอยู่ในโครงการ e-matters และ PHP.net
ได้ให้ข้อมูลว่ามีช่องโหว่ 2 ชนิดที่อยู่ใน client library ของ MySQL
(a heap buffer overflow bug และ glitch อื่นๆที่อนุญาตให้แคร็กเกอร์เขียน
'\0' ในตำแหน่งใดๆของหน่วยความจำได้) ซึ่งสามารถส่งผลให้แอพพลิเคชันเป็นอันตรายได้
เขาเตือนว่า "ช่องโหว่ทั้ง 2 ชนิดสามารถทำให้เกิดการโจมตีแบบ
DoS (Denial of Service) หรือการเอ็กซีคิวต์ arbitray code ภายใต้สิ่งใดก็ตามที่เชื่อมต่อไปยัง
libmysqlclient"
อย่างไรก็ตาม ได้มีการเผยแพร่วิธีแก้ไขออกมาให้ผู้ใช้งานรับทราบเมื่อวันที่
12 ธันวาคม 2545 คือผู้ดูแลระบบจะต้องปรับปรุง MySQL 3.23.54 ซึ่งมีช่องโหว่หลากหลายเหล่านี้โดยดาวน์โหลดได้ที่นี่
เนื่องจาก PHP ประกอบด้วยสำเนาของ libmysql ด้วย ดังนั้นหากมีการใช้งาน
PHP ร่วมด้วย จะต้องมีการแก้ไขในส่วนนี้ด้วยโดยศึกษารายละเอียดได้ที่นี่
ลิงค์อื่นๆที่เกี่ยวข้อง
Multiple
MySQL vulnerabilities (advisory by e-matters)
มีรายละเอียดอื่นๆอีกใน BugTraq ที่เกี่ยวกับปัญหาเหล่านี้ ได้แก่:
MySQL
Memory Corruption Vulnerability
MySQL
Password Memory Corruption Vulnerability
MySQL
Password Length Account Compromise Vulnerability
MySQL
Library Read_One_Row Buffer Overflow Vulnerability
MySQL
Library Read_Rows Buffer Overflow Vulnerability
เอกสารอ้างอิง
http://www.theregister.co.uk/content/55/28607.html
เผยแพร่โดย ThaiCERT เมื่อ 2 มกราคม
2546 15.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 2 มกราคม 2546 15.00
|
