Se ha detectado una vulnerabilidad en la base de datos que permite el envío de
información sin cifrar por parte del usuario.
MySQL es una base de datos "open source" muy utilizada por la comunidad de desarrolladores y usuarios seguidores del software libre.
Detalle del problema
- Aunque A simple vista no parece un problema, sin embargo, se convierte en tal si el negociado previo entre ambos extremos se había realizado recurriendo a un cifrado. Se trata de un problema muy sería que puede provocar que los datos sufran ataques, como por ejemplo, un Man in the Middle.
- Esta vulnerabilidad permitía que una tercera persona se ubicará entre el servidor y el cliente, provocando que las comunicaciones entre el usuario y este no fuesen seguras, y sin embargo entre el ciberdelincuente y el servidor si que se utilizará cifrado. Esta ya ha sido identificada como CVE-2015-3152.
- Esta vulnerabilidad reside en una carencia a la hora de configurar los clientes que se conectan a la base de datos, ya que el servidor sí posee la función de forzar la utilización de una conexión cifrado, algo que en el otro extremo no sucede.
- Los
responsables de la aplicación ya están al tanto del problema y se
encuentran trabajando en una solución, algo para lo que de momento habrá
que esperar. En el caso de que se quiera paliar los efectos de esta
vulnerabilidad el usuario deberá configurar en el lado del cliente el
parámetro REQUIRE X509 option, obligando que las comunicaciones entre
ambos extremos deban utilizar de forma obligada SSL/TLS.
- Evidentemente
no se trata de una vulnerabilidad grave, tal y como han coincidido los
responsables de MySQL y expertos en seguridad, sobre todo porque el
atacante tendría que ubicarse entre estos.