Sicherheit: Eine Sicherheitslücke in MySQL ermöglicht es Angreifern, sich auch ohne korrektes Passwort am Datenbankserver anzumelden. Grund ist eine fehlerhafte Implementierung beim Vergleich der Hashwerte des eingegebenen und hinterlegtem Passwort. In MySQL führt die Prüfung mitunter zum Erfolgsfall, obwohl beide Hashes unterschiedlich sind.
Eine Typenumwandlung beim Vergleich der Passwort-Hashes der MySQL-Anmeldung kann dazu führen, dass ein Rückgabewert, der auf Ungleichheit der Hashes hinweist, fälschlicherweise als 0 interpretiert wird. Dies bedeutet jedoch, dass die Passwörter identisch und damit korrekt gewesen wären. Für Angreifer bietet sich hierdurch eine ideale Angriffsfläche, weil oftmals weniger als 300 Loginversuche ausreichen, wie Sergei Golubchik schreibt. Er ist Entwickler der MariaDB, die ebenfalls von dem Problem betroffen ist.
Der Kreis der betroffenen Datenbankserver hält sich jedoch in Grenzen, da dieses Problem nicht nur explizit von der verwendeten MySQL-Version, sondern auch von Bibliotheken des Betriebssystems abhängt. Wer MySQL in den Versionen 5.1.61, 5.2.11, 5.3.5 oder 5.5.22 nutzt, sollte vorsorglich ein Update ausführen. Neue Versionen stehen bereits zur Verfügung und beheben die Sicherheitslücke.
