Exploit en MySQL aprovecha vulnerabilidad para obtener acceso de administrador Root

Estándar

Fuente: http://www.muycomputerpro.com/2012/06/11/una-vulnerabilidad-en-mysql-permite-ganar-acceso-root/

Varios exploits para un fallo de autenticación en MySQL se están extendiendo en diversos canales en Internet, en parte porque este error es especialmente sencillo de aprovechar para ganar acceso root a la base de datos.

El único factor que disminuye su peligrosidad es el hecho de que depende de la librería C con la que se implementó MySQL. Este “bypass” del sistema de contraseñas tiene ya asignada un código de vulnerabilidad, la CVE-2012-2122, y permite que un atacante logre acceso root a la base de datos repitiendo varias veces el intento de acceder a dicha cuenta con una contraseña incorrecta.

La vulnerabilidad ha sido detallada por el coordinador de seguridad de MariaDB -un fork de MySQL, y se debe a un error en el llamado error de casting al comparar la contraseña esperada con la contraseña introducida.

Oracle ya corrigió el problema de este bug -que codificó como 64884– tanto en MySQL 5.1.63como en MySQL 5.5.24, ambos lanzados hace un mes. La corrección consiste en un simple cambio en una línea, y un parche similar se puede aplicar al código fuente de MariaDB.

Distribuciones como Ubuntu (10.04, 10.10, 11.04, 11.10 y 12.04), openSUSE 12.1 64 bits, Fedora 16 64 bits y Arch Linux tienen esta vulnerabilidad, mientras uqe Debian, RHEL, CentOS y Gentoo parecen estar a salvo. Lo ideal es actualizar los paquetes en los sistemas afectados cuanto antes.

Fuente 2: http://www.hackplayers.com/2012/06/evasion-de-autenticacion-en.html

Sergei Golubchik, el coordinador de seguridad de MariaDB (un derivado de MySQL con licencia GPL), ha encontrado un serio bug en MySQL y MariaDB que podría permitir a un atacante evadir la autenticación de la base de datos.

La vulnerabilidad identificada como CVE-2012-2122puede afectar a todas las versiones 5.1.61, 5.2.11, 5.3.5, 5.5.22 y anteriores de ambos motores de base datos, siempre que hayan sido compiladas con librerías que permiten que la rutina memcmp() pueda llegar a devolver enteros fuera del rango de -128 a 127 (Linux glibc
sse-optimized
).

Cuando un usuario se conecta a MariaDB/MySQL, se calcula un token (un hash SHA a partir de su contraseña y una cadena al azar) y se compara con el valor esperado. Debido a una serie de pruebas incorrectas, puede ocurrir que el token y el valor esperado se consideren iguales, incluso si la función memcmp() devuelve un valor distinto de cero. En este caso, MySQL/MariaDB puede pensar que la contraseña es correcta, aunque no lo sea. Debido a que el protocolo utiliza cadenas aleatorias, la probabilidad de provocar este error es de aproximadamente de 1 sobre 256.

Esto significa que, si se conoce un nombre de usuario para conectarse (y el root casi siempre existe), podremos conectarnos con “cualquier” contraseña con repetidos intentos de conexión. Unos 300 intentos sólo nos llevaran una fracción de segundo, así que básicamente la protección con contraseña de la cuenta es como si no existiera. Además cualquier cliente puedo hacerlo, no hay necesidad de una biblioteca libmysqlclient especial“.

Contramedidas:

La primera regla para securizar MySQL es no exponer la base de datos en la red. La mayoría de las distribuciones de Linux configuran el acceso al demonio de MySQL sólo para localhost. En caso de que sea necesario habilitar el acceso remoto al servicio, MySQL también proporciona controles de acceso basados en host.

Lo más fácil es modificar el archivo my.cnf con el fin de restringir el acceso al sistema local. Busca la sección [mysqld] y cambia (o añade una nueva línea para configurar) el parámetro “bind-address” a “127.0.0.1”. Reinicia el servicio de MySQL para aplicar esta configuración.

La siguiente recomendación claramente es actualizar o parchear la base de datos. Oracle ya corrigió el error en MySQL, bug id 64884, con las versiones MySQL 5.1.63 y 5.5.24, ambas publicadas hace un mes. La corrección aplicada es un único cambio en una línea; también hay un parche similar disponible para MariaDB. En breve, se espera que las distintas distribuciones de Linux vaya publicando parches para sus correspondientes versiones de MySQL.

Referencias:
 
CVE-2012-2122 : Serious Mysql Authentication Bypass Vulnerability
CVE-2012-2122 : Mysql Authentication Bypass Exploit
Simple authentication bypass for MySQL root revealed 
CVE-2012-2122: A Tragically Comedic Security Flaw in MySQL (comprobación de sistemas afectados)

Sistemas vulnerables:

  • Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including@michealc )
  • OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
  • Fedora 16 64-bit ( via hexed )
  • Arch Linux (unspecified version)

Sistemas NO vulnerables:

  • Official builds from MySQL and MariaDB (including Windows)
  • Red Hat Enterprise Linux, CentOS (32-bit and 64-bit) [ not conclusive ]
  • Ubuntu Linux 32-bit (10.04, 11.10, 12.04, likely all)
  • Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
  • Debian Linux lenny 32-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
  • Debian Linux lenny 64-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
  • Debian Linux lenny 64-bit 5.1.51-1-log ( via @matthewbloch )
  • Debian Linux squeeze 64-bit 5.1.49-3-log ( via @matthewbloch )
  • Debian Linux squeeze 32-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
  • Debian Linux squeeze 64-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
  • Gentoo 64-bit 5.1.62-r1 ( via @twit4c )
  • SuSE 9.3 i586 MySQL 4.1.10a ( via @twit4c )

mysql1 Una vulnerabilidad en MySQL permite ganar acceso root

Usar JSON desde Visual Studio .NET y ASP

Estándar

Si en algún momento has tenido la necesidad de leer JSON desde tus proyectos en .NET aqui tienes un framework para leer y convertir a JSON desde objetos .NET

Características

  • Flexible serializador JSON para la conversión entre. NET y JSON
  • LINQ to JSON para leer y escribir de forma manual JSON
  • Alto rendimiento, más rápido que los serializadores integrados en . NET
  • Escribe con sangría, JSON fácil de leer 
  • Convertir JSON desde y hacia XML
  • Compatible con. NET 2,. NET 3.5,. Framework 4, Silverlight, Windows Phone y Windows 8 Metro.

El serializador JSON es una buena opción cuando el JSON que está leyendo o escribiendo maps a una clase. NET.

LINQ to JSON es bueno para situaciones en las que sólo están interesados ​​en obtener los valores de JSON, usted no tiene una clase para serializar o deserializar, o el JSON es radicalmente diferente de su clase y lo necesita para leer y escribir de forma manual desde su objetos.

http://james.newtonking.com/projects/json-net.aspx

Descarga: http://json.codeplex.com/

Para generar objetos JSON desde paginas ASP tienes estas magnificas librerias en Code Google

http://code.google.com/p/aspjson/

Servicios Outsourcing de Bases de Datos

Estándar

Que importante es tener un especialista al que acudir cuando tenemos un problema.

En el caso del desarrollo web, una persona no puede saber de todo, y en un equipo tambien en muchas ocasiones hay carencias en cuanto a los conocimientos y habilidades de cada miembro. Por eso, es tan importante conocer las propias limitaciones, y buscar ayuda en el momento adecuado, no por ello tu servicio deja de ser bueno, al contrario, es mejor, porque le ofreces a tu cliente la posibilidad de una mejor atencion y conocimientos especializados.

En nuestro caso, hemos encontrado una empresa que nos presta ayuda en el ámbito de las bases de datos. Damoin Web Services tiene un equipo preparado para gestionar bases de datos en un nivel técnico alto, pero tambien existen las excepciones y proyectos que superan nuestra capacidad técnica. Para compensarlo buscamos la mejor empresa posible que nos apoye en momentos de crisis o proyectos mas intensos. Os queremos presentar a GPS Open Source.

Desde GPS Open Source ofrecen servicios de consultoría/mantenimiento de  bases de datos en entornos empresariales.

Consultoría Oracle – Consultoría MySQL – Consultoría SQL Server – Consultoría Sybase

Su portfolio se dirige a compañías medianas y grandes que requieren de un proveedor especializado y de confianza. Un socio para abordar proyectos que exigen experiencia y conocimiento en entornos de bases de datos , ya sea Oracle, MySQL, SQL Server o Sybase.

Los consultores y tecnicos de GPS Open Souce cuentan con un amplio bagaje en la administración de bases de datos en entornos críticos y han participando y liderado proyectos de migración e implantación de bases de datos para grandes compañías. Su aportación parte de esa especialización y se hace fuerte desde el compromiso y el esfuerzo como garantía de éxito.

Su valor como socio en entornos de base de datos

El objetivo principal de GPS Open Source es convertirse en un proveedor cercano a sus socios y clientes. Una empresa capaz de ofrecer la confianza suficiente para dejar en sus manos proyectos y áreas importantes de sus activos informáticos. Un proveedor, en definitiva, que forma parte de su Departamento IT como un equipo más de técnicos especializados y comprometidos con el objetivo de su empresa.