Datenbanksoftware: Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Angreifer können MySQL-Installationen aus der Ferne mit Schadcode infizieren und so die Kontrolle über die Server übernehmen. Einen Patch für die kritische Sicherheitslücke gibt es noch nicht - jedenfalls nicht bei Oracle.

Artikel veröffentlicht am ,
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht.
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht. (Bild: Oracle)

Der Sicherheitsforscher Dawid Golunski hat eine kritische Sicherheitslücke in der weit verbreiteten Datenbanksoftware MySQL gefunden. Angreifer können seiner Darstellung zufolge ohne Berechtigung manipulierte Konfigurationsdateien ablegen und so Oracle-MySQL-Server komplett übernehmen. Patches von Oracle gibt es bislang nicht.

Stellenmarkt
  1. IT Consultant S / 4HANA SAP GTS - Export Control / Sanction Party Screening (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
  2. Berater Krankenhausinformationssystem (KIS) Neueinführungen (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
Detailsuche

Die Sicherheitslücke wurde nach Angaben von Golunski am 29. Juli 2016 an Oracle gemeldet und vom Sicherheitsteam bestätigt. Auch andere betroffene Hersteller wie PerconaDB und MariaDB sollen informiert worden sein. Die beiden Letzteren haben die Lücken am 30 August gepatcht, Oracle bislang nicht.

Angriff aus der Ferne

Die beiden Sicherheitslücken haben die Bezeichnungen CVE-2016-6662 und CVE-2016-6663 erhalten. Die erste der beiden ermöglicht es einem Angreifer, aus der Ferne oder am Rechner individuelle Datenbankeinstellungen in die MySQL-Einstellungen (my.conf) zu schreiben.

Betroffen sind nur Installationen, die in der Standardeinstellung laufen. Nach Angaben von Golunski können Angreifer legitimen Traffic über Phpmyadmin nachahmen oder Code per SQL-Injektionen einschleusen.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

CVE-2016-6662 ermöglicht es Angreifern außerdem, die lokale My.conf-Datei zu verändern und bösartigen Angriffscode einzuschleusen, der dann mit Root-Rechten ausgeführt wird. Details zu der anderen Lücke wurden bislang nicht veröffentlicht. Die Lücke soll es über eine Rechteeskalation ermöglichen, Code mit Root-Rechten auszuführen, auch ohne File-Berechtigung.

Galunski hat bislang keinen kompletten Proof-of-Concept (POC) vorgestellt, weil die Lücke noch nicht geschlossen wurde. Möglicherweise erscheint ein Sicherheitspatch erst Ende Oktober an Oracles regulärem Patchday. Eine öffentliche Äußerung von Oracle dazu gibt es bislang nicht, wir haben bei dem Unternehmen angefragt. Uns wurde eine kurzfristige Stellungnahme versprochen.

Bis dahin können Nutzer das Problem begrenzen, indem sie sicherstellen, dass keine der MySQL-Konfigurationsdateien im Besitz von mysql_user ist. Außerdem sollten Nutzer eine Dummy-Version von my.cnf erstellen, die im Besitz von Root sei, aber nicht genutzt werde, schreibt Galunski.

Nachtrag vom 14. September 2016, 14:01 Uhr

Oracle hat gepatchte Versionen von MySQL veröffentlicht, eine öffentliche Stellungnahme des Unternehmens gibt es aber noch nicht. Aktuelle Versionen sind 5.5.52, 5.6.33 und 5.7.15.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


scroogie 14. Sep 2016

Nope. Folgende gelten z.B. für mysql 5.5: /etc/my.cnf Global options /etc/mysql...

phade 13. Sep 2016

"As temporary mitigations, users should ensure that no MySQL config files are owned by...

yoyoyo 13. Sep 2016

Wer glaubt denn bitte wirklich Oracle interessiert sich dafür ob jemand MySQL benutzt...



Aktuell auf der Startseite von Golem.de
Radeon RX 6500 XT
Diese Karte hätte es früher(TM) nie gegeben

In Zeiten irrer Grafikkarten-Preise wird ein winziger Laptop- als überteuerter Gaming-Desktop-Chip verkauft. Eine ebenso perfide wie geniale Idee.
Eine Analyse von Marc Sauter

Radeon RX 6500 XT: Diese Karte hätte es früher(TM) nie gegeben
Artikel
  1. Krypto-Währung: El Salvador nutzt Talfahrt des Bitcoin für großen Ankauf
    Krypto-Währung
    El Salvador nutzt Talfahrt des Bitcoin für großen Ankauf

    Die selbsternannte Bitcoin-Nation El Salvador hat die aktuelle Schwäche der Währung ausgenutzt und eingekauft - offenbar am Smartphone.

  2. Serielle Schnittstellen: Wie funktioniert PCI Express?
    Serielle Schnittstellen
    Wie funktioniert PCI Express?

    Serielle High-Speed-Links erscheinen irgendwie magisch. Wir erklären am Beispiel von PCI Express, welche Techniken sie ermöglichen - und warum.
    Von Johannes Hiltscher

  3. Matrix: Grundschule forkt Messenger
    Matrix
    Grundschule forkt Messenger

    Statt auf Teams oder Google setzt eine Grundschule in NRW beim Homeschooling auf einen selbst angepassten Matrix-Client. Die Mühe lohnt sich.
    Ein Interview von Moritz Tremmel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /