Kilka dni temu jeden z developerów pracujących nad MariaDB wykrył poważny problem. W pewnych sytuacjach MySQL umożliwia zalogowanie się do bazy przy pomocy niewłaściwego hasła. Czy ten bug dotyczy danej wersji MySQL zależy w sporej mierze od tego, w jaki sposób była kompilowana. Więcej informacji na ten temat można znaleźć w poniższych linkach:

http://seclists.org/oss-sec/2012/q2/493

https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

Problem jest o tyle poważny, że jeśli dana instancja MySQL jest podatna na tą lukę, to teoretycznie wystarczy 256 prób logowania się z jakimkolwiek hasłem aby dostać się do bazy. Z resztą, uruchomienie prób logowania w nieskończonej pętli nie stanowi żadnego problemu.

Drodzy Czytelnicy, testujcie swoje serwery MySQL i, w razie konieczności, róbcie pilny upgrade. MySQL w wersjach 5.1.63 i 5.5.24 nie są już podatne.