El sitio web de MySQL ha sido objeto de un ataque a través de una
vulnerabilidad de inyección ciega de código SQL. Se trata de un fallo
en el código de la aplicación web y no de la base de datos.

MySQL es una popular base de datos de código abierto. MySQL es propiedad
de Oracle tras la compra de SUN, su antigua propietaria.

El ataque se atribuye a TinKode y Ne0h del grupo Rumano Slacker.Ro. Los
datos extraídos han sido publicados en el sitio pastebin.com; algo que
viene siendo habitual en este tipo de ¨hazañas¨.

Además del sitio principal los atacantes replicaron el ataque en las
versiones localizadas de MySQL.com. En concreto las versiones francesa,
alemana, italiana y japonesa.

Los datos expuestos se corresponden con las credenciales de los usuarios
del servidor MySQL y el volcado de la base de datos principal del sitio.
Entre las credenciales pueden observarse nombres de usuario, contraseñas
hasheadas, correos y direcciones.

Algunos de los hashes han sido además publicados en texto claro ya que
eran tan sencillos que posiblemente a los atacantes les llevo escaso
tiempo encontrar su correspondencia utilizando fuerza bruta con tablas
rainbow. Sorprende (o no) observar contraseñas tan débiles como un
simple número de 4 cifras para la cuenta de administrador.

Se da la circunstancia que el sitio de MySQL contenía ya una
vulnerabilidad de cross-site scripting activa. Dicha vulnerabilidad se
hizo pública a través de twitter el pasado mes de enero y aún sigue sin
ser solucionada.
Fuente : Hispasec