28.02.2014 18:48

MySQL-Datenbank-Zugang ohne Passwort

Wie Sergei Golubchik (MariaDB-Sicherheitskoordinator) auf der oss-sec Mailing-Liste bekanntgegeben hat, ist der Zugriff auf diverse MySQL- und MariaDB-Datenbankserver mit falschen Passwörtern möglich - wenn man es nur oft genug versucht. Mit einer einfachen 'for'-Schleife sind hunderte Anfragen pro Sekunde an den Server möglich.

Zitat Heise-Security: "Der Angreifer muss zwar einen gültigen Benutzernamen auf dem Datenbank-Server kennen, die Wahrscheinlichkeit, dass ein "root" existiert, ist jedoch hoch."

Golubchik geht davon aus dass generell alle MySQL- und MariaDB-Versionen bis einschließlich 5.1.61, 5.2.11, 5.3.5 und 5.5.22 verwundbar sind, insbesondere Versionen die mit einer SSE-optimierten memcmp-Funktion aus glibc kompiliert wurden. Bis dato ist nicht bekannt, ob fertige Binaries diverser Distributionen betroffen sind - nach eigenen Recherchen können wir aber zumindest für die Pakete der Distributionen Debian 6.0 (Squeeze), Fedora 10, Fedora 12, Fedora 15 sowie Fedora 17 Entwarnung geben. Wir konnten das Problem mit Debian 7.0 (Wheezy, testing) reproduzieren.

Achtung: dieser Angriff funktioniert auch remote, wenn mysql auf Verbindungen von Aussen reagiert.

Um zu testen ob die eigene Installation verwundbar ist, hier die passende Befehlskette:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

Wenn nun eine mysql shell erscheint, so ist das eigene System verwundbar.

Abhilfe schafft ein Update auf die MySQL-Versionen 5.1.62, 5.2.12, 5.3.6 und 5.5.23 bzw. MariaDB 5.1.63, 5.5.24 und 5.6.6.

Autor: