Oracle publica por descuido una prueba de concepto para MySQL

os parches de seguridad publicados, que corrigen los errores #13510739 y #63775, carecían (y carecen de manera oficial) de detalle alguno sobre su impacto, vector, etc. Sin embargo, a pesar del escrúpulo por mantener esta información secreta, se les escapó un detalle a la hora de generar el paquete de actualización. Dentro del código fuente de la versión 5.5.22 de MySQL, el investigador Eric Romangse encontró lo que a primera vista parecía ser un archivo destinado a la realización automática de pruebas sobre la base de datos. Una vez dentro del fichero, pudo comprobar que se trataba de una prueba de concepto que conseguía provocar una denegación de servicio en el sistema de base de datos.

Según puede deducirse del código fuente, para poder explotar esta vulnerabilidad es necesario estar autenticado en el sistema y poseer los permisos necesarios para ejecutar ciertos comandos.

Las versiones afectadas por la vulnerabilidad son todas las anteriores a MySQL 5.5.22.

Más información:

Oracle accidentally release MySQL DoS proof of concept http://www.h-online.com/security/news/item/Oracle-accidentally-release-MySQL-DoS-proof-of-concept-1526146.html

D.1.3. Changes in MySQL 5.5.22 (21 March 2012) http://dev.mysql.com/doc/refman/5.5/en/news-5-5-22.html

MySQL Bug 13510739 http://pastebin.com/tCxNTD96