Vulnerability Bulletins |
Escalada de privilegios en MySQL |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de privilegios |
Dificulty | Principiante |
Required attacker level | Acceso remoto con cuenta |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | MySQL <= 3.23.55 |
Description |
|
Existe una vulnerabilidad en el popular gestor de bases de datos relacionales MySQL que permite modificar el usuario con el cual se ejecuta el servicio. Es posible cambiar el usuario alterando el fichero de configuración "my.cnf" ejecutando ciertos comandos en el servicio MySQL. Para esto es necesario que el atacante tenga permiso para crear y modificar tablas. Una vez alterado el fichero de configuración, la próxima vez que se inicie el servicio de MySQL, éste se ejecutará con privilegios de superusuario. | |
Solution |
|
Aplique los mecanismos de actualización propios de su distribución, o bien obtenga las fuentes del software y compílelo usted mismo. Actualización de software MySQL http://www.mysql.com |
|
Standar resources |
|
Property | Value |
CVE | CAN-2003-0150 |
BID | |
Other resources |
|
BUGTRAQ: =?iso-8859-1?Q?MySQL_user_can_be_changed_to_root? http://marc.theaimsgroup.com/?l=bugtraq&m=104715840202315&w=2 |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2003-03-12 |