En kritisk sårbarhed i den populære open source-database Mysql kan give ondsindede personer adgang til databasen, oplyser firmaet NGS Software.
Sårbarheden gør det muligt at omgå valideringen af adgangskoder ved at sende en bestemt udformet pakke til serveren.
For at udnytte sårbarheden skal en person kende et gyldigt brugernavn. På en almindeligt konfigureret Mysql-server vil der eksistere en administrator med brugernavnet root.
Dermed kan en hacker sende en speciel pakke til serveren og få adgang udelukkende ved at kende brugernavnet root uden at kende adgangskoden.
Ved at omdøbe standardkontoen root kan man derfor gøre det vanskeligere at udnytte sårbarheden.
- En af forudsætningerne for at udnytte denne sårbarhed er, at man bruger et typisk brugernavn. Men det nytter ikke at omdøbe root til noget andet, som er nemt at gætte, siger Peter Kruse fra sikkerhedsfirmaet CSIS.
Sårbarheden findes i Mysql version 4.1 og frem til 4.1.3, hvor den er rettet. Den er også rapporteret i version 5.0, hvor den dog ligeledes er rettet i den seneste version.
Mysql er en af verdens mest populære databaser, som specielt har vundet stor udbredelse i open source-kredse.
Databasen distribueres under en licens, som gør den gratis for en lang række ikke-kommercielle brugere.
Mange virksomheder benytter dog også databasen, fordi den har opbakning fra et stort korps af udviklere.
Relevant link