Angreifer können sich auf die Datenbanken MySQL und MariaDB ohne korrektes Passwort Zugriff verschaffen.
Angreifer können sich auf die Datenbanken MySQL und MariaDB ohne korrektes Passwort Zugriff verschaffen. (Bild: MySQL)

Sicherheitslücke MySQL-Zugriff ohne korrektes Passwort

Ein Fehler in einigen Versionen der Datenbanken MySQL und MariaDB führt dazu, dass eine Anmeldung auch ohne korrektes Kennwort möglich ist. Grund ist ein fehlerhafter Vergleich zwischen gespeichertem Hashwert und dem eingegebenen Passwort.

Anzeige

Durch einen fehlerhaften Vergleich zwischen dem als Hashwert gespeicherten Passwort und dem eingegebenen, kann sich ein Angreifer auch ohne korrekte Passworteingabe Zutritt verschaffen. Einige Versionen melden in einem von 256 Fällen einen korrekten Passwortvergleich und gewähren einem Angreifer Zutritt zur Datenbank, auch wenn das Passwort falsch ist. Dem Angreifer muss lediglich ein Benutzername bekannt sein, in den meisten Fällen gibt es den Benutzer root.

Liegt der Rückgabewert beim Vergleich zwischen eingegebenem Passwort und dem gespeicherten Hashwert außerhalb des Bereichs -128 und 127, kann eine fehlerhafte Typenumwandlung dazu führen, dass die beiden Werte als "gleich" interpretiert werden, auch wenn die Funktion Memcmp() (Memory Compare) keinen Nullwert zurückgibt.

Mit wiederholten Anmeldeversuchen mit inkorrektem Passwort können sich Angreifer damit in meist unter 300 Versuchen einloggen, schreibt MariaDB-Entwickler Sergei Golubchik, der auch für die Sicherheit der Datenbank zuständig ist.

Allerdings sind nicht alle Versionen der Datenbank betroffen, denn die Funktion Memcmp() muss dazu einen beliebigen Wert außerhalb des Bereichs zwischen -128 und 127 überhaupt zurückgeben können. Das ist beispielsweise weder in GCC noch in BSDs Libc der Fall, in Glibc mit SSE-optimiertem Memcmp() unter Linux jedoch schon.

Laut Golubchik sind die offiziellen Versionen in Distributionen zwar nicht betroffen, in den Versionen 5.1.61, 5.2.11, 5.3.5 und 5.5.22 der beiden Datenbank kann der Fehler jedoch auftreten. In den Versionen 5.1.62, 5.2.12, 5.3.6 und 5.5.23 von MariaDB und 5.1.63, 5.5.24 sowie 5.6.6 von MySQL wurde die Schwachstelle behoben.

Heise Online hat ein einzeiliges Skript veröffentlicht, mit dem sich feststellen lässt, ob sich die Schwachstelle auf einem lokalen System ausnutzen lässt. Unter Ubuntu 12.04 mit aktuellen Updates ist das bislang noch der Fall.


Lala Satalin... 12. Jun 2012

Das ist dann aber wieder keine Lücke in MySQL sondern im CMS. Wenn man SQL-Injection...

.02 Cents 12. Jun 2012

Stellt Ubuntu auch Oracle Patches zur Verfügung? Abgesehen davon (Troll Mode): Mir wurde...

Kommentieren



Anzeige

  1. IT-Administrator/-in
    Gehring Technologies GmbH, Ostfildern
  2. Senior Consultant / Technical Architect (m/w) für Adobe Experience Manager (CQ / AEM)
    über Randstad Deutschland GmbH, Bonn
  3. Applikationsspezialist (m/w) SharePoint
    Dürr IT Service GmbH, Bietigheim-Bissingen
  4. Referenten im Bereich Reporting (m/w)
    BASF Services Europe GmbH, Berlin

 

Detailsuche


Hardware-Angebote
  1. Fire TV Stick
    39,00€
  2. TIPP: Alternate Schnäppchen Outlet
  3. TIPP: Kingston HyperX Cloud Headset
    84,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  2. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  3. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  4. Windkraftwerke

    Kletterroboter überprüft Windräder

  5. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt

  6. ÖBB

    WLAN im Spaceshuttle einfacher zu machen als im Zug

  7. Google

    Chrome unterstützt Windows XP bis Ende 2015

  8. Kernel

    GNU Hurd 0.6 erschienen

  9. Highway Star

    Wikos Alu-Smartphone kostet 370 Euro

  10. MM1

    VR-Stuhl mit Fünf-Punkte-Gurt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Onion Omega Preiswertes Bastelboard für OpenWrt
  2. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster
  3. MIPS Creator CI20 angetestet Die Platine zum Pausemachen

Axiom Verge im Test: 16 Bit für Genießer
Axiom Verge im Test
16 Bit für Genießer
  1. Alienation angespielt Zerstörungsorgie von den Resogun-Machern
  2. Test Mushroom Men Der Knobelpilz und die dicke Prinzessin
  3. The Witness Ex-Indie-Millionär nimmt Kredit für nächstes Projekt auf

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

  1. Re: Eigentlich kann man mit diesem Quatsch mal...

    Der Held vom... | 10:41

  2. Wo liegt das Problem?

    HaMa1 | 10:36

  3. Re: Einfach selber Fotos machen!

    Mingfu | 10:34

  4. Re: Selbst wenn man 100mbit hätte

    plutoniumsulfat | 10:33

  5. Re: Smartgrid&Smartmeter unabdingbar für die...

    robinx999 | 10:32


  1. 09:01

  2. 20:53

  3. 19:22

  4. 18:52

  5. 16:49

  6. 16:35

  7. 15:14

  8. 14:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel