Zwei Schwachstellen in MySQL

Die Schwachstellen lassen sich für eine Rechteausweitung ausnutzen. Anwender könnten eventuell eine Tabelle umbenennen, ohne DROP-Rechte zu besitzen. Diese Lücke tritt in Version 4.1 und 5.0 auf. Routinen, die in SQL SECURITY INVOKER gespeichert sind, ändern Rechte beim Zurückspringen nicht um. Damit könnte sich ein Anwender erweiterte Rechte ergaunern. Dieses Problem ist für Version 5.0.40 bestätigt.

Derzeit gibt es keine Updates. Die Probleme sind allerdings in Version 5.2.18-beta gelöst. Abhilfe sollen die kommenden Versionen 5.0.32 und 4.1.23 schaffen. Das Problem wird derzeit als gering eingestuft, da ein Angriff nur aus dem lokalen Netzwerk möglich ist. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.