Abo
  • Services:

Datenbanksoftware: Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Angreifer können MySQL-Installationen aus der Ferne mit Schadcode infizieren und so die Kontrolle über die Server übernehmen. Einen Patch für die kritische Sicherheitslücke gibt es noch nicht - jedenfalls nicht bei Oracle.

Artikel veröffentlicht am ,
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht.
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht. (Bild: Oracle)

Der Sicherheitsforscher Dawid Golunski hat eine kritische Sicherheitslücke in der weit verbreiteten Datenbanksoftware MySQL gefunden. Angreifer können seiner Darstellung zufolge ohne Berechtigung manipulierte Konfigurationsdateien ablegen und so Oracle-MySQL-Server komplett übernehmen. Patches von Oracle gibt es bislang nicht.

Stellenmarkt
  1. SAUER GmbH / REALIZER GmbH, Stipshausen, Pfronten, Bielefeld
  2. Hays AG, Raum Frankfurt am Main

Die Sicherheitslücke wurde nach Angaben von Golunski am 29. Juli 2016 an Oracle gemeldet und vom Sicherheitsteam bestätigt. Auch andere betroffene Hersteller wie PerconaDB und MariaDB sollen informiert worden sein. Die beiden Letzteren haben die Lücken am 30 August gepatcht, Oracle bislang nicht.

Angriff aus der Ferne

Die beiden Sicherheitslücken haben die Bezeichnungen CVE-2016-6662 und CVE-2016-6663 erhalten. Die erste der beiden ermöglicht es einem Angreifer, aus der Ferne oder am Rechner individuelle Datenbankeinstellungen in die MySQL-Einstellungen (my.conf) zu schreiben.

Betroffen sind nur Installationen, die in der Standardeinstellung laufen. Nach Angaben von Golunski können Angreifer legitimen Traffic über Phpmyadmin nachahmen oder Code per SQL-Injektionen einschleusen.

CVE-2016-6662 ermöglicht es Angreifern außerdem, die lokale My.conf-Datei zu verändern und bösartigen Angriffscode einzuschleusen, der dann mit Root-Rechten ausgeführt wird. Details zu der anderen Lücke wurden bislang nicht veröffentlicht. Die Lücke soll es über eine Rechteeskalation ermöglichen, Code mit Root-Rechten auszuführen, auch ohne File-Berechtigung.

Galunski hat bislang keinen kompletten Proof-of-Concept (POC) vorgestellt, weil die Lücke noch nicht geschlossen wurde. Möglicherweise erscheint ein Sicherheitspatch erst Ende Oktober an Oracles regulärem Patchday. Eine öffentliche Äußerung von Oracle dazu gibt es bislang nicht, wir haben bei dem Unternehmen angefragt. Uns wurde eine kurzfristige Stellungnahme versprochen.

Bis dahin können Nutzer das Problem begrenzen, indem sie sicherstellen, dass keine der MySQL-Konfigurationsdateien im Besitz von mysql_user ist. Außerdem sollten Nutzer eine Dummy-Version von my.cnf erstellen, die im Besitz von Root sei, aber nicht genutzt werde, schreibt Galunski.

Nachtrag vom 14. September 2016, 14:01 Uhr

Oracle hat gepatchte Versionen von MySQL veröffentlicht, eine öffentliche Stellungnahme des Unternehmens gibt es aber noch nicht. Aktuelle Versionen sind 5.5.52, 5.6.33 und 5.7.15.



Anzeige
Spiele-Angebote
  1. 26,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  3. 14,99€

scroogie 14. Sep 2016

Nope. Folgende gelten z.B. für mysql 5.5: /etc/my.cnf Global options /etc/mysql...

phade 13. Sep 2016

"As temporary mitigations, users should ensure that no MySQL config files are owned by...

yoyoyo 13. Sep 2016

Wer glaubt denn bitte wirklich Oracle interessiert sich dafür ob jemand MySQL benutzt...


Folgen Sie uns
       


Pillars of Eternity 2 - Fazit

Das Entwicklerstudio Obsidian hat sich für Pillars of Eternity 2 ein unverbrauchtes Szenario gesucht. Im Fazit zeigen wir Spielszenen aus dem Baldur's-Gate-mäßigen Rollenspiel, das wirkt, als handele es in der Karibik.

Pillars of Eternity 2 - Fazit Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Pillars of Eternity 2 im Test: Fantasy unter Palmen
    Pillars of Eternity 2 im Test
    Fantasy unter Palmen

    Ein klassisches PC-Rollenspiel in der Art von Baldur's Gate, aber in einem karibisch angehauchten Szenario mit Piraten und Segelschiffen: Pillars of Eternity 2 entpuppt sich im Test als spannendes Abenteuer mit viel Flair.
    Ein Test von Peter Steinlechner


        •  /