ชื่อ: Multiple vulns in MySQL

นักวิจัยด้านความปลอดภัยเตือนให้ผู้ดูแลระบบทำการปรับปรุงเครื่องให้บริการฐานข้อมูล MySQL ให้ทันสมัย เนื่องจากมีการค้นพบข้อบกพร่องสำคัญทางความปลอดภัยที่สร้างความยุ่งยากจำนวนหนึ่ง

ข้อบกพร่องทั้งหลายสามารถส่งผลให้ผู้บุกรุกเข้ามาทำลายระบบฐานข้อมูลซึ่งเป็นเวอร์ชันที่เปิดเผยซอสโค้ดที่เป็นที่รู้จักกันแพร่หลายและไม่ได้ติดตั้ง patch และสามารถนำโค้ดอันตรายมาใส่ลงในเครื่องให้บริการ หรือแฮ็ก (hack) เข้าไปยังชื่อบัญชีต่างๆโดยไม่ต้องใส่รหัสผ่านได้เลย นี่เป็นคำเตือนจาก German firm e-matters


Stefan Esser ซึ่งอยู่ในโครงการ e-matters และ PHP.net ได้ให้ข้อมูลว่ามีช่องโหว่ 2 ชนิดที่อยู่ใน client library ของ MySQL (a heap buffer overflow bug และ glitch อื่นๆที่อนุญาตให้แคร็กเกอร์เขียน ‘\0’ ในตำแหน่งใดๆของหน่วยความจำได้) ซึ่งสามารถส่งผลให้แอพพลิเคชันเป็นอันตรายได้

เขาเตือนว่า “ช่องโหว่ทั้ง 2 ชนิดสามารถทำให้เกิดการโจมตีแบบ DoS (Denial of Service) หรือการเอ็กซีคิวต์ arbitray code ภายใต้สิ่งใดก็ตามที่เชื่อมต่อไปยัง libmysqlclient”

อย่างไรก็ตาม ได้มีการเผยแพร่วิธีแก้ไขออกมาให้ผู้ใช้งานรับทราบเมื่อวันที่ 12 ธันวาคม 2545 คือผู้ดูแลระบบจะต้องปรับปรุง MySQL 3.23.54 ซึ่งมีช่องโหว่หลากหลายเหล่านี้โดยดาวน์โหลดได้ที่นี่

เนื่องจาก PHP ประกอบด้วยสำเนาของ libmysql ด้วย ดังนั้นหากมีการใช้งาน PHP ร่วมด้วย จะต้องมีการแก้ไขในส่วนนี้ด้วยโดยศึกษารายละเอียดได้ที่นี่

Related Posts