Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

Boletines de Vulnerabilidades


Suplantación de servidores MySQL-SSL

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado MySQL 5.0.x < 5.0.88
MySQL 5.1.x < 5.1.41

Descripción

Se ha descubierto una vulnerabilidad en MySQL 5.0 y 5.1. La vulnberabilidad reside en un error en el manejo del valor "0" en los certificados X.509 cuando se usa OpenSSL en la función "vio_verify_callback" en "viosslfactories.c".

Un atacante remoto podría realizar ataques de hombre en el medio y suplantar servidores MySQL basados en SSL arbitrarios mediante un certificado especialmente diseñado.

Solución



Actualización de software

Red Hat (RHSA-2010:0109-1)
RHEL Desktop Workstation (v. 5 cliente)
Red Hat Enterprise Linux (v. 5 servidor)
Red Hat Enterprise Linux Desktop (v. 5 cliente)
Red Hat Enterprise Linux EUS (v. 5.4.z servidor)
https://rhn.redhat.com/

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux.

Identificadores estándar

Propiedad Valor
CVE CVE-2009-4028
BID NULL

Recursos adicionales

Red Hat Security Advisory (RHSA-2010:0109-1)
https://rhn.redhat.com/errata/RHSA-2010-0109.html

SUSE Security Advisory (SUSE-SA:2010:007)
http://www.novell.com/linux/security/advisories/2010_7_sr.html

SUSE Security Advisory (SUSE-SR:2010:011)
http://www.novell.com/linux/security/advisories/2010_11_sr.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2010-03-01
1.1 Aviso emitido por Suse (SUSE-SA:2010:007) 2010-04-09
1.2 Aviso emitido por Suse (SUSE-SR:2010:011) 2010-05-19
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración