SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/una-vulnerabilidad-en-mysql-permite-al-usuario-enviar-datos-sin-cifrar/
TAGS: envío de información sin cifrar, MySQL, SSL/TLS
Las bases de datos hoy en día son muy importantes, sobre todo en lo referido a nivel de páginas web. MySQL es una de las opciones más utilizadas por los desarrolladores y siempre que existe una vulnerabilidad salpica a una gran cantidad de estos. La última detectada permite el envío de información sin cifrar por parte del usuario.
A simple vista no parece un problema, sin embargo, se convierte en tal si el negociado previo entre ambos extremos se había realizado recurriendo a un cifrado. Se trata de un problema muy sería que puede provocar que los datos sufran ataques, como por ejemplo, un Man in the Middle.
[caption id="attachment_3104" align="alignnone" width="680"] Vulnerability in MySQL allows users to send unencrypted data[/caption]
Esta vulnerabilidad permitía que una tercera persona se ubicará entre el servidor y el cliente, provocando que las comunicaciones entre el usuario y este no fuesen seguras, y sin embargo entre el ciberdelincuente y el servidor si que se utilizará cifrado. Esta ya ha sido identificada como CVE-2015-3152.
Esta vulnerabilidad reside en una carencia a la hora de configurar los clientes que se conectan a la base de datos, ya que el servidor sí posee la función de forzar la utilización de una conexión cifrado, algo que en el otro extremo no sucede.
MySQL ya está informada del problema
Los responsables de la aplicación ya están al tanto del problema y se encuentran trabajando en una solución, algo para lo que de momento habrá que esperar. En el caso de que se quiera paliar los efectos de esta vulnerabilidad el usuario deberá configurar en el lado del cliente el parámetro REQUIRE X509 option, obligando que las comunicaciones entre ambos extremos deban utilizar de forma obligada SSL/TLS.
Evidentemente no se trata de una vulnerabilidad grave, tal y como han coincidido los responsables de MySQL y expertos en seguridad, sobre todo porque el atacante tendría que ubicarse entre estos.
Fuente:http://www.redeszone.net/
Una vulnerabilidad en MySQL permite al usuario enviar datos sin cifrar
Noticias de seguridad informática
No comments:
Post a Comment