Anzeige
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen.
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

MySQL Passwörter per Schwachstelle schneller abgleichen

Der Hacker Kingcope hat eine weitere Schwachstelle in der Datenbank MySQL beschrieben. Mit Hilfe eines Skripts ließen sich in einem Brute-Force-Angriff bis zu 5.000 Passwörter pro Sekunde auslesen - als unprivilegierter Benutzer.

Anzeige

Brute-Force-Angriffe auf die Datenbank MySQL lassen sich beschleunigen und automatisieren. Das konnte der Hacker Kingcope nachweisen. Er verwendete dabei keine Exploits, sondern lediglich herkömmliche Funktionen der Datenbank. Laut Kingcope handelt es sich um einen kleinen Bug, der bereits dokumentiert ist.

Über den dokumentierten Befehl change_user kann ein unprivilegierter Benutzer einen Kontowechsel vornehmen. Da dieser Befehl deutlich schneller ist als das mehrfache Anmelden bei der Datenbank, nutzte Kingcope sie aus, um Passwortlisten auszuprobieren - sogenannte Brute-Force-Angriffe.

Immer das gleiche Salz in Passwörtern

Da das Salt bei der Passwortüberprüfung über change_user im Gegensatz zur herkömmlichen Anmeldung nicht geändert wird, sei es ein bequemer Weg, um schnell ganze Passwortlisten abzugleichen. Dass MySQL das Salt nicht ändere, sei die eigentliche Schwachstelle, so Kingcope.

In seinen Tests habe er bis zu 5.000 vierstellige Passwörter pro Sekunde über das Netzwerk abgleichen können. Dazu habe er zunächst eine Passwortliste mit John The Ripper erstellen lassen. Mit einem Perl-Skript fütterte er die Datenbank über change_user mit der Passwortliste. Die Ausgabe leitete er in eine Textdatei um. Für den Angriff müsse der Benutzername bekannt sein.

Weitere Schwachstellen gefunden

Erst vor wenigen Tagen hatte Kingcope mehrere Exploits veröffentlicht, mit denen sich unprivilegierte Benutzer Root-Rechte zu MySQL-Datenbanken verschaffen können. Außerdem gibt es eine Schwachstelle, über die gültige Benutzernamen für eine MySQL-Datenbank herausgefunden werden können.


eye home zur Startseite
xviper 04. Dez 2012

Bei vielen Installationen sollte eine Liste der 10000 beliebtesten Passwörter reichen...

Kommentieren



Anzeige

  1. Professional IT Consultant Automotive Marketing und Sales (m/w)
    T-Systems International GmbH, Leinfelden-Echterdingen
  2. Trainee Requirements Engineer (m/w) Cloud Produkte
    Haufe Gruppe, Freiburg im Breisgau
  3. Consultant (m/w) Business Intelligence (Reporting)
    T-Systems on site services GmbH, Nürnberg
  4. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern

Detailsuche



Anzeige
Top-Angebote
  1. NUR HEUTE: Crucial Ballistix Elite 16-GB-DDR4-Kit
    74,85€ inkl. Versand (solange der Vorrat reicht)
  2. NUR HEUTE: Saturn Super Sunday
    (alle Angebote versandkostenfrei, u. a. Lenovo Yoga Tablet 3 10 inkl. SanDisk 32-GB-Karte für...
  3. NUR BIS MONTAG 9 UHR UND SOLANGE DER VORRAT REICHT: Fallout 4 Uncut USK 18 - PC
    19,99€ inkl. Versand

Weitere Angebote


Folgen Sie uns
       


  1. Arbeitsbedingungen

    Apple-Store-Mitarbeiterin gewährt Blick hinter die Kulissen

  2. Modulares Smartphone

    Project-Ara-Ideengeber hat von Google mehr erwartet

  3. Telekom-Konzernchef

    "Vectoring schafft Wettbewerb"

  4. Model S

    Teslas Autopilot verursacht Auffahrunfall

  5. Security

    Microsoft will Passwort 'Passwort' verbieten

  6. Boston Dynamics

    Google will Roboterfirma an Toyota verkaufen

  7. Oracle-Anwältin nach Niederlage

    "Google hat die GPL getötet"

  8. Selbstvermessung

    Jawbone steigt offenbar aus Fitnesstracker-Geschäft aus

  9. SpaceX

    Falcon 9 Rakete kippelt nach Landung auf Schiff

  10. Die Woche im Video

    Die Schoko-Burger-Woche bei Golem.de - mmhhhh!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Java-Rechtsstreit Oracle verliert gegen Google
  2. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  2. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. Stratix 10 MX Alteras Chips nutzen HBM2 und Intels Interposer-Technik
  2. Apple Store Apple darf keine Geschäfte in Indien eröffnen
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

  1. Re: Telekom Propaganda Kampagne

    spezi | 11:20

  2. Re: Hat nur leider den gegenteiligen Effekt ...

    Pete Sabacker | 11:20

  3. Re: Viel zu hohe Erwartungen seitens des Ideengebers

    Darktrooper | 11:17

  4. Re: Der Fahrer ist eindeutig schuld.

    Avarion | 11:17

  5. Re: Stimme Hakkens 100% zu!

    Moe479 | 11:14


  1. 11:19

  2. 09:44

  3. 14:15

  4. 13:47

  5. 13:00

  6. 12:30

  7. 11:51

  8. 11:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel