MySQL vulnerabile con qualsiasi password

Versioni non recenti di MySQL e MariaDB sono affetti da un problema di sicurezza abbastanza grave, dicono i ricercatori, potenzialmente capace di garantire l'accesso senza particolare fatica da parte di chi attacca: basta ripetere i tentativi di login un numero finito di volte per “aprire le porte” dei server.

La falla, comune sia alla versione “liscia” di MySQL che all'alternativa “open” al sistema di database relazionale di proprietà di Oracle, consiste in un problema nella verifica delle password con la funzione memcmp: nelle installazioni affette dal problema c'è una possibilità su 256 che ripetendo i tentativi di login con un nome utente noto (come ad esempio il classico “root” di default) si riesca ad accedere ai server senza la necessità di conoscere la password reale.

La falla ora descritta è stata in realtà già tappata sia in MySQL che MariaDB, e i ricercatori considerano vulnerabili le versioni dei due software fino alle release 5.1.61, 5.2.11, 5.3.5 e 5.5.22. Vulnerabili anche diverse versioni di Ubuntu Linux (10.04, 10.10, 11.04, 11.10 e 12.04), Fedora, OpenSUSE 12.1.

Anche in questo caso il consiglio maggiormente dispensato è quello di aggiornare (o far aggiornare, nel caso di server “hosted”) al più presto sistemi operativi, build Linux e binari MySQL/MariaDB. Per dare un'idea del rischio corso da utenti e aziende, i ricercatori che hanno descritto la falla hanno identificato quasi 900mila server MySQL (oltre la metà di quelli scansionati) come vulnerabili all'attacco.

Alfonso Maruccia