MySQL-Datenbank wird von ihren Nutzern gepatcht

Die Security-Firma Application Security brachte es an den Tag: Die beliebte Open-Source-Datenbank MySQL der schwedischen MySQL AB hat ein Leck, das zu Buffer Overflow führen kann. Als kritisch stuft sie die Lücke ein und warnt, dass sämtliche Versionen der Software betroffen seien, und zwar in der Funktion “get_salt_from_password”. In dieser Einstellung könne ein böswilliger Nutzer sich mit allen Konsequenzen als Administrator in der Anwendung bewegen.
Doch ‘alles halb so schlimm’ sagt MySQL AB dazu. Kaj Arnö, Vice President und Cosultant bei MySQL, wehrt sich: “Nur ein böswilliger Administrator könnte die Lücke ausnutzen, da die Administratorrechte eine Grundvoraussetzung für das Ausnutzen der Lücke wären.” Und Admins, so Arnö weiter, würden ja selten die Systeme schädigen, die sie schützen sollen und selbst wenn: Sie bräuchten dazu kein Leck in der Datenbank.

Dass dieses kurzzeitig vorhanden war, leugnet CEO Marten Mickos nicht. Jedoch: “Von Zeit zu Zeit weisen uns Nutzer auf einen Fehler im Code hin und wir entfernen diese wunde Stelle oft binnen Stunden. Interessanter Weise sind es oft dieselben Leute, die uns eine Lücke anzeigen und uns mit dem notwendigen Patch versorgen.” Doch alles in allem, so fährt er fort, sei es Dank der offenen Quellcodes viel einfacher, Lücken zu bemerken und diese dann auch zu schließen.

Auch wenn sich die offizielle Veröffentlichung des Patches manchmal ein paar Tage hinziehen könne, sei doch durch die öffentliche Struktur der Software der Flicken sofort bereit zum Download. Mickos: “Bugs und Angriffsflächen sind im Quellcode unvermeidlich, aber wenn dieser offen ist, können sie viel leichter gefunden und behoben werden.”