Oracle geeft per ongeluk MySQL DoS-exploit prijs

door

DDoS-aanval

door

Nieuws - Oracle heeft bij het oplossen van DoS-problemen (denial of service) voor zijn database MySQL prompt de instructies voor een effectieve DoS-aanval online gezet.

Bij het uitbrengen van de vernieuwde MySQL-versies 5.5.22 en 5.1.62 heeft het bedrijf zichzelf per ongeluk in de voet geschoten. De nieuwe updates voor de open source-database zijn nodig om enkele beveiligingsbugs te verwijderen, maar geven nu onbedoeld prijs hoe servers met de MySQL-database zijn plat te leggen.

Databases laten crashen

Beveiligingsonderzoeker Eric Romang heeft de fout ontdekt. Hij vond een development-script dat Oracle heeft achtergelaten in de broncode. Dat script test de DoS-fix en is dus een proof-of-concept van Oracle. Deze code toont aan hoe alle oudere versies van MySQL zijn te crashen.

Romang heeft het door hem ontdekte script vervolgens gepubliceerd op zijn blog. Het gevaar dat hackers misbruik maken van het script is overigens niet heel erg groot. Voor het uitvoeren van het script is namelijk wel toegang met bepaalde permissies nodig op de aan te vallen MySQL-database.

Openheid van zaken

Bij updates van open source-software is het gebruikelijk openheid van zaken te geven. Wanneer een bedrijf zijn broncode niet prijsgeeft, is het van groot belang dat de gebruikte testscripts voor bugfixes niet uitlekken. Oracle verstrekt geen informatie over de nu gedichte gaten, maar heeft dus wel bruikbare aanvalscode gelekt.

Volgens sommige voorstanders van open source druist geslotenheid over bugs juist in tegen de open source-principes. Kwaadwillenden kunnen immers zelf genoeg informatie uit de broncode halen om misbruik te maken van bugs. Gebruikers van open source-software lopen dan een of enkele stappen achter in het beschermen van hun installaties.

De proof-of-concept van Oracle zelf geeft effectieve DoS-instructies om MySQL te laten vastlopen:

Lees meer over:

dos, oracle, open source, broncode, MySQL

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.