Una vulnerabilidad en MySQL permite al usuario enviar datos sin cifrar

Share this…

Las bases de datos hoy en día son muy importantes, sobre todo en lo referido a nivel de páginas web. MySQL es una de las opciones más utilizadas por los desarrolladores y siempre que existe una vulnerabilidad salpica a una gran cantidad de estos. La última detectada permite el envío de información sin cifrar por parte del usuario.

A simple vista no parece un problema, sin embargo, se convierte en tal si el negociado previo entre ambos extremos se había realizado recurriendo a un cifrado. Se trata de un problema muy sería que puede provocar que los datos sufran ataques, como por ejemplo, un Man in the Middle.

Vulnerability in MySQL allows users to send unencrypted data
Vulnerability in MySQL allows users to send unencrypted data

Esta vulnerabilidad permitía que una tercera persona se ubicará entre el servidor y el cliente, provocando que las comunicaciones entre el usuario y este no fuesen seguras, y sin embargo entre el ciberdelincuente y el servidor si que se utilizará cifrado. Esta ya ha sido identificada como CVE-2015-3152.

Esta vulnerabilidad reside en una carencia a la hora de configurar los clientes que se conectan a la base de datos, ya que el servidor sí posee la función de forzar la utilización de una conexión cifrado, algo que en el otro extremo no sucede.

MySQL ya está informada del problema

Los responsables de la aplicación ya están al tanto del problema y se encuentran trabajando en una solución, algo para lo que de momento habrá que esperar. En el caso de que se quiera paliar los efectos de esta vulnerabilidad el usuario deberá configurar en el lado del cliente el parámetro REQUIRE X509 option, obligando que las comunicaciones entre ambos extremos deban utilizar de forma obligada SSL/TLS.

Evidentemente no se trata de una vulnerabilidad grave, tal y como han coincidido los responsables de MySQL y expertos en seguridad, sobre todo porque el atacante tendría que ubicarse entre estos.

Fuente:https://www.redeszone.net/