Mysql timmert beveiliging dicht na uitbraak worm
Geplaatst: 29 jan 2005, 18:45
<img src="http://upload.userbase.be/upload/dicht_timmeren.gif" align="left" width="110" height="90"> Mysql wil de beveiliging van zijn open-sourcedatabase aanscherpen met onder meer automatische updates en een verbeterd installatieproces. Dit voornemen komt daags nadat bekend werd dat een nieuwe worm het voorzien heeft op Windows-machines met Mysql. De worm maakte hierbij misbruik van de zwakke beveiliging en profiteerde van functies om de installatie van Mysql te vereenvoudigen.
De afgelopen dagen heeft Mysql gebruikers van zijn databasesoftware gewaarschuwd voor het bestaan van de nieuwe worm, een variant op de Forbot-worm. Nu het ergste leed geleden lijkt te zijn, wil het bedrijf onderzoeken op welke manier de software beter te beveiligen is.
Tot nu toe heeft Mysql altijd de installatie van zijn database zo eenvoudig mogelijk proberen te houden. "In het verleden is ons doel altijd geweest om Mysql binnen vijftien minuten up and running te krijgen", zegt Zack Urlocker, vice-president bij Mysql.
Het bedrijf zal hier mogelijk van af moeten stappen. Zo blijft bij installatie van de database het rootwachtwoord standaard leeg en staat de mogelijkheid om van afstand in te kunnen loggen standaard aan.
Beide elementen zijn door Forbot-DY misbruikt om zich verder te kunnen verspreiden. Mysql gaat nu kijken of de beveiliging in toekomstige versies moet prevaleren boven installatiegemak.
"Als we verplichte wachtwoorden of standaarddiensten nodig hebben om mensen te helpen bij het monitoren van beveiligingszaken, dan zullen we dat onderzoeken", aldus Urlocker.
Automatische update
Achter de schermen is Mysql is hier al deels mee begonnen. Zo is het bedrijf al negen maanden aan het werk aan de ontwikkeling van een automatische updatefunctie. Hiermee zouden patches kunnen worden verspreid om eventuele beveiligingslekken te dichten.
Nu raadt Mysql bedrijven aan om hun netwerken goed te controleren op eventueel te misbruiken databases, zelfs als beheerders in de veronderstelling zijn dat zij geen Mysql hebben.
Omdat de Mysql-software gratis is te downloaden, is het niet ondenkbaar dat werknemers een versie op hun eigen systeem hebben geïnstalleerd.
Bron: Webwereld.nl van 29 januari 2005
De afgelopen dagen heeft Mysql gebruikers van zijn databasesoftware gewaarschuwd voor het bestaan van de nieuwe worm, een variant op de Forbot-worm. Nu het ergste leed geleden lijkt te zijn, wil het bedrijf onderzoeken op welke manier de software beter te beveiligen is.
Tot nu toe heeft Mysql altijd de installatie van zijn database zo eenvoudig mogelijk proberen te houden. "In het verleden is ons doel altijd geweest om Mysql binnen vijftien minuten up and running te krijgen", zegt Zack Urlocker, vice-president bij Mysql.
Het bedrijf zal hier mogelijk van af moeten stappen. Zo blijft bij installatie van de database het rootwachtwoord standaard leeg en staat de mogelijkheid om van afstand in te kunnen loggen standaard aan.
Beide elementen zijn door Forbot-DY misbruikt om zich verder te kunnen verspreiden. Mysql gaat nu kijken of de beveiliging in toekomstige versies moet prevaleren boven installatiegemak.
"Als we verplichte wachtwoorden of standaarddiensten nodig hebben om mensen te helpen bij het monitoren van beveiligingszaken, dan zullen we dat onderzoeken", aldus Urlocker.
Automatische update
Achter de schermen is Mysql is hier al deels mee begonnen. Zo is het bedrijf al negen maanden aan het werk aan de ontwikkeling van een automatische updatefunctie. Hiermee zouden patches kunnen worden verspreid om eventuele beveiligingslekken te dichten.
Nu raadt Mysql bedrijven aan om hun netwerken goed te controleren op eventueel te misbruiken databases, zelfs als beheerders in de veronderstelling zijn dat zij geen Mysql hebben.
Omdat de Mysql-software gratis is te downloaden, is het niet ondenkbaar dat werknemers een versie op hun eigen systeem hebben geïnstalleerd.
Bron: Webwereld.nl van 29 januari 2005