Según informa SecurityTracker, existen dos nuevas vulnerabilidades en la base de datos "open source" MySQL. El anuncio ha sido dado a conocer en http://www.securitytracker.com/alerts/2005/May/1013995.html y en http://www.securitytracker.com/alerts/2005/May/1013994.html.

El primero de los problemas puede hacer llegar a que el servidor de base de datos se ejecute con permisos inadecuados. Si el proceso "mysqld" se inicia con un parámetro de configuración de línea de comandos determiando, la base de datos se ejecutará con los privilegios del usuario que ejecuta el programa, en vez de proporcionar el mensaje de error equivalente.

El segundo de los problemas reside en el uso inadecuado del archivo temporal "/tmp/mysql_install_db.$$" durante la creación de la base de datos, que permitirá a usuarios locales su modificación. Un usuario local podrá emplear este fallo para inyectar comandos para la creación de cuentas de base de datos con mayores privilegios de los que realmente disponen.

MySQL ha distribuido la versión 4.1.12 en la que se corrigen estos problemas, que se encuentra disponible en http://dev.mysql.com/downloads. La próxima versión 5.0.5 también incluirá las actualizaciones necesarias.