MySQL: Passwörter per Schwachstelle schneller abgleichen
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

MySQL Passwörter per Schwachstelle schneller abgleichen

Der Hacker Kingcope hat eine weitere Schwachstelle in der Datenbank MySQL beschrieben. Mit Hilfe eines Skripts ließen sich in einem Brute-Force-Angriff bis zu 5.000 Passwörter pro Sekunde auslesen - als unprivilegierter Benutzer.

Anzeige

Brute-Force-Angriffe auf die Datenbank MySQL lassen sich beschleunigen und automatisieren. Das konnte der Hacker Kingcope nachweisen. Er verwendete dabei keine Exploits, sondern lediglich herkömmliche Funktionen der Datenbank. Laut Kingcope handelt es sich um einen kleinen Bug, der bereits dokumentiert ist.

Über den dokumentierten Befehl change_user kann ein unprivilegierter Benutzer einen Kontowechsel vornehmen. Da dieser Befehl deutlich schneller ist als das mehrfache Anmelden bei der Datenbank, nutzte Kingcope sie aus, um Passwortlisten auszuprobieren - sogenannte Brute-Force-Angriffe.

Immer das gleiche Salz in Passwörtern

Da das Salt bei der Passwortüberprüfung über change_user im Gegensatz zur herkömmlichen Anmeldung nicht geändert wird, sei es ein bequemer Weg, um schnell ganze Passwortlisten abzugleichen. Dass MySQL das Salt nicht ändere, sei die eigentliche Schwachstelle, so Kingcope.

In seinen Tests habe er bis zu 5.000 vierstellige Passwörter pro Sekunde über das Netzwerk abgleichen können. Dazu habe er zunächst eine Passwortliste mit John The Ripper erstellen lassen. Mit einem Perl-Skript fütterte er die Datenbank über change_user mit der Passwortliste. Die Ausgabe leitete er in eine Textdatei um. Für den Angriff müsse der Benutzername bekannt sein.

Weitere Schwachstellen gefunden

Erst vor wenigen Tagen hatte Kingcope mehrere Exploits veröffentlicht, mit denen sich unprivilegierte Benutzer Root-Rechte zu MySQL-Datenbanken verschaffen können. Außerdem gibt es eine Schwachstelle, über die gültige Benutzernamen für eine MySQL-Datenbank herausgefunden werden können.


xviper 04. Dez 2012

Bei vielen Installationen sollte eine Liste der 10000 beliebtesten Passwörter reichen...

Kommentieren



Anzeige

  1. Testingenieur (m/w)
    S1nn GmbH & Co. KG, Stuttgart
  2. Referent (m/w) - Knowledge Management
    Siemens AG, München
  3. Software Architect (m/w)
    evosoft GmbH, Nürnberg
  4. Java-Web-Entwickler - CMS & Portale (m/w)
    TFT TIE Kinetix GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Probleme mit der Haltbarkeit

    Wearables gehen zu schnell kaputt

  2. Nachfolger von Brendan Eich

    Chris Beard ist neuer Mozilla-Chef

  3. E-Plus

    Berliner U-Bahn bis Jahresende mit UMTS und LTE ausgerüstet

  4. 100 MBit/s

    Telekom will 38.000 Kabelverzweiger für Vectoring

  5. Regierungsrazzia

    Chinesische Büros von Microsoft durchsucht

  6. Sebastian Kügler

    Pläne für Wayland-Unterstützung in KDE Plasma 5

  7. Dieselstörmers

    Modemarke gegen Actionspiel

  8. Wearable

    Swatch will eigene Smartwatch bauen

  9. DPT Board

    Selbstbau-WLAN-Modul mit OpenWRT für 35 US-Dollar

  10. Telltale Games

    The Walking Dead geht in die dritte Adventure-Staffel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Samsung Galaxy Tab S im Test: Flaches, poppig buntes Leichtgewicht
Samsung Galaxy Tab S im Test
Flaches, poppig buntes Leichtgewicht
  1. Samsung Neue Galaxy Tabs ab 200 Euro erhältlich

IMHO: Share Economy regulieren, nicht verbieten
IMHO
Share Economy regulieren, nicht verbieten
  1. NSA-Affäre Macht euch wichtig!
  2. IMHO Und wir sind selber schuld!
  3. Head Mounted Display Valve zeigt neue Version seiner VR-Brille

Oneplus One im Test: Unerreichbar gut
Oneplus One im Test
Unerreichbar gut
  1. Oneplus One Eigenes ROM mit Stock Android 4.4.4 vorgestellt
  2. Oneplus One-Update macht verkürzte Akkulaufzeit rückgängig
  3. Oneplus One könnte ab dem dritten Quartal vorbestellbar sein

    •  / 
    Zum Artikel