MySQLのmemcmp関数処理の不備により認証を回避される脆弱性を検証(NTTデータ先端技術) | ScanNetSecurity
2026.04.26(日)

MySQLのmemcmp関数処理の不備により認証を回避される脆弱性を検証(NTTデータ先端技術)

NTTデータ先端技術は、MySQLのmemcmp関数処理における不備により認証を回避される脆弱性(CVE-2012-2122)に関する検証レポートを公開した。

脆弱性と脅威 セキュリティホール・脆弱性
28 views
facebookLINE
NTTデータ先端技術株式会社は6月15日、MySQLのmemcmp関数処理における不備により認証を回避される脆弱性(CVE-2012-2122)に関する検証レポートを公開した。本脆弱性は、認証時に利用されるSSE最適化されたmemcmp関数の返り値のチェックに問題があり、認証を回避されるというもの。この脆弱性により、攻撃者が認証情報を複数回送信し、特定条件における認証を回避することで、任意のユーザ権限でデータベースを操作される危険性がある。また、認証試行は、1/256程度の確率で回避することが可能という。

同社では今回、この脆弱性の再現性について検証した。検証は、Ubuntu 12.04 LTS上のMySQL Server 5.5.22-0ubuntu1を検証ターゲットシステムとして実施。ターゲットシステムに複数の認証情報を送信し、特定条件において認証を回避してログインする。今回の検証に用いたコードは、ターゲットシステム上のMySQLサーバに接続し、MySQLサーバの制御を奪取するもの。これにより、リモートからターゲットシステム上のMySQLサーバが操作可能となる。その結果、ターゲットシステム上のMySQLサーバのパスワード情報を取得した結果が表示され、MySQL Serveのパスワード情報の奪取に成功した。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

  2. 村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

    村田製作所への不正アクセス 第2報 ~ 顧客・取引先・従業員の個人情報不正取得を確認

  3. 医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

    医療システム開発企業のコーポレートサイトで SSL 証明書が有効期限切れ

  4. デジタル庁「政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック」に NTTデータ先端の技術者がレビュー協力

    デジタル庁「政府情報システムにおける脅威の検知・対応のためのログ取得・分析導入ガイドブック」に NTTデータ先端の技術者がレビュー協力

  5. システム全面復旧は 6 月予定 ~ 青山メイン企画へのランサムウェア攻撃

    システム全面復旧は 6 月予定 ~ 青山メイン企画へのランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP