elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Oracle publica por descuido una prueba de concepto para MySQL
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Oracle publica por descuido una prueba de concepto para MySQL  (Leído 2,716 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Oracle publica por descuido una prueba de concepto para MySQL
« en: 25 Abril 2012, 15:33 pm »

Oracle, actual propietario del software de base de datos MySQL publicó en marzo una serie de actualizaciones para la base de datos MySQL. En el boletín se anunció que se solventaban dos fallos de seguridad.

Los parches de seguridad publicados, que corrigen los errores #13510739 y #63775, carecían (y carecen de manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a pesar del escrúpulo por mantener esta información secreta, se les escapó un detalle a la hora de generar el paquete de actualización. Dentro del código fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo que a primera vista parecía ser un archivo destinado a la realización automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo comprobar que se trataba de una prueba de concepto que conseguía provocar una denegación de servicio en el sistema de base de datos.

Según puede deducirse del código fuente, para poder explotar esta vulnerabilidad es necesario estar autenticado en el sistema y poseer los permisos necesarios para ejecutar ciertos comandos.

Las versiones afectadas por la vulnerabilidad son todas las anteriores a MySQL 5.5.22.

Más información:

Oracle accidentally release MySQL DoS proof of concept http://www.h-online.com/security/news/item/Oracle-accidentally-release-MySQL-DoS-proof-of-concept-1526146.html

D.1.3. Changes in MySQL 5.5.22 (21 March 2012) http://dev.mysql.com/doc/refman/5.5/en/news-5-5-22.html

MySQL Bug 13510739 http://pastebin.com/tCxNTD96

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/oracle-publica-por-descuido-una-prueba-de-concepto-para-mysql


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Oracle publica por descuido una prueba de concepto para MySQL
« Respuesta #1 en: 26 Abril 2012, 14:29 pm »

El código del pastebin (porque normalmente ahora borran todo):

Código
  1.    mysql-test/suite/innodb/t/innodb_bug13510739.test
  2.  
  3.    #
  4.    # Bug#13510739 63775: SERVER CRASH ON HANDLER READ NEXT AFTER DELETE RECORD.
  5.    #
  6.  
  7.    -- source include/have_innodb.inc
  8.  
  9.    CREATE TABLE bug13510739 (c INTEGER NOT NULL, PRIMARY KEY (c)) ENGINE=INNODB;
  10.  
  11.    INSERT INTO bug13510739 VALUES (1), (2), (3), (4);
  12.  
  13.    DELETE FROM bug13510739 WHERE c=2;
  14.  
  15.    HANDLER bug13510739 OPEN;
  16.  
  17.    HANDLER bug13510739 READ `primary` = (2);
  18.  
  19.    # this one crashes the server IF the bug IS present
  20.    HANDLER bug13510739 READ `primary` NEXT;
  21.  
  22.    DROP TABLE bug13510739;
  23.  


En línea

radamanthys7

Desconectado Desconectado

Mensajes: 3


Somos de los Hijos del PocaMadre, Soy el Pocas 7!!


Ver Perfil WWW
Re: Oracle publica por descuido una prueba de concepto para MySQL
« Respuesta #2 en: 26 Abril 2012, 18:24 pm »

Muy Informativo el código.

Gracias por el aporte...!!!

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Prueba de concepto - Anti Cloud Antivirus (Panda) « 1 2 »
Abril negro
Mad Antrax 12 19,724 Último mensaje 17 Mayo 2009, 01:13 am
por XcryptOR
Prueba MySQL remoto para que entre gente cualquiera... « 1 2 »
Bases de Datos
Meta 13 9,495 Último mensaje 4 Junio 2009, 06:20 am
por Meta
prueba del concepto koodface?
Análisis y Diseño de Malware
hack_17 2 3,736 Último mensaje 26 Junio 2010, 02:22 am
por ☺BADMAN
Investigador muestra prueba de concepto de virus que infecta los firmware de ...
Noticias
wolfbcn 1 2,047 Último mensaje 1 Agosto 2012, 15:46 pm
por WHK
[Tutorial] Prueba de concepto con el HeartBleed
Hacking
Debci 0 3,315 Último mensaje 1 Mayo 2014, 17:33 pm
por Debci
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines