Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket mysql

Betroffene Plattformen:

Fedora 16

Eine Schwachstelle bei der Überprüfung von Passworten erlaubt es einem
Angreifer sich bei einem betroffenen MySQL-Server anzumelden ung
schlimmstenfalls beliebige Aktionen mit dessen Rechten auszuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2122: Schwachstelle in MySQL

MySQL enthält eine Schwachstelle bei er Überprüfung von Passworten, die dazu
führt dass sich lokale Angreifer auch ohne gültiges Passwort am Server
anmelden können. Grund hierfür ist ein Fehler im Aufruf der libc-Funktion
‘memcmp()’ die bei bestimmten Optimierungen im Compiler eine andere Semantik
des Rückgabewertes liefert. Dies führt dazu dass beim Vergleich zwischen
einem gerade eingegebenen Passwort und dem gespeicherten Hash die Gleichheit
der beiden Werte festgestellt wird, obwohl dies tatsächlich nicht der Fall
ist.
Die Schwachstelle ermöglicht einem lokalen Angreifer auf einen betroffenen
MySQL-Server zuzugreifen und beliebige Aktionen mit dessen Rechten
durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1256/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-June/082877.html

Schwachstelle CVE-2012-2122:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2122

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.