Kritische Sicherheitslücken ermöglichen es Angreifern, Server über die Datenbank-Systeme MySQL, MariaDB und Percona komplett zu übernehmen. Oracle hat die Lücke in MySQL bisher nicht geschlossen. Von Heise:

MariaDB und Percona haben das Problem bereits mit Updates behoben. Da diese für MySQL erst bei Oracles nächstem Critical Patch Update im Oktober zu erwarten sind und die Details der Lücken bereits mit den Open-Source-Updates bekannt wurden, entschloss sich der Entdecker die Details der Schwachstellen zu veröffentlichen. Nach eigenen Angaben hatte er Oracle 40 Tage Zeit gegeben, die Lücken zu stopfen. Admins können, bis ein Update erscheint, ihre Systeme damit schützen, dass sie dem mysql-Nutzer die Besitzrechte für die .cnf-Konfigurationsdateien von MySQL entziehen. Der Datenbankprozess benötigt diese Rechtezuteilung an den mysql-Nutzer nämlich nicht zum einwandfreien Betrieb.

Weiter lesen