Datenbanksoftware: Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Angreifer können MySQL-Installationen aus der Ferne mit Schadcode infizieren und so die Kontrolle über die Server übernehmen. Einen Patch für die kritische Sicherheitslücke gibt es noch nicht - jedenfalls nicht bei Oracle.

Artikel veröffentlicht am ,
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht.
Oracle hat zwei Sicherheitslücken in MySQL bislang nicht gepatcht. (Bild: Oracle)

Der Sicherheitsforscher Dawid Golunski hat eine kritische Sicherheitslücke in der weit verbreiteten Datenbanksoftware MySQL gefunden. Angreifer können seiner Darstellung zufolge ohne Berechtigung manipulierte Konfigurationsdateien ablegen und so Oracle-MySQL-Server komplett übernehmen. Patches von Oracle gibt es bislang nicht.

Die Sicherheitslücke wurde nach Angaben von Golunski am 29. Juli 2016 an Oracle gemeldet und vom Sicherheitsteam bestätigt. Auch andere betroffene Hersteller wie PerconaDB und MariaDB sollen informiert worden sein. Die beiden Letzteren haben die Lücken am 30 August gepatcht, Oracle bislang nicht.

Angriff aus der Ferne

Die beiden Sicherheitslücken haben die Bezeichnungen CVE-2016-6662 und CVE-2016-6663 erhalten. Die erste der beiden ermöglicht es einem Angreifer, aus der Ferne oder am Rechner individuelle Datenbankeinstellungen in die MySQL-Einstellungen (my.conf) zu schreiben.

Betroffen sind nur Installationen, die in der Standardeinstellung laufen. Nach Angaben von Golunski können Angreifer legitimen Traffic über Phpmyadmin nachahmen oder Code per SQL-Injektionen einschleusen.

CVE-2016-6662 ermöglicht es Angreifern außerdem, die lokale My.conf-Datei zu verändern und bösartigen Angriffscode einzuschleusen, der dann mit Root-Rechten ausgeführt wird. Details zu der anderen Lücke wurden bislang nicht veröffentlicht. Die Lücke soll es über eine Rechteeskalation ermöglichen, Code mit Root-Rechten auszuführen, auch ohne File-Berechtigung.

Galunski hat bislang keinen kompletten Proof-of-Concept (POC) vorgestellt, weil die Lücke noch nicht geschlossen wurde. Möglicherweise erscheint ein Sicherheitspatch erst Ende Oktober an Oracles regulärem Patchday. Eine öffentliche Äußerung von Oracle dazu gibt es bislang nicht, wir haben bei dem Unternehmen angefragt. Uns wurde eine kurzfristige Stellungnahme versprochen.

Bis dahin können Nutzer das Problem begrenzen, indem sie sicherstellen, dass keine der MySQL-Konfigurationsdateien im Besitz von mysql_user ist. Außerdem sollten Nutzer eine Dummy-Version von my.cnf erstellen, die im Besitz von Root sei, aber nicht genutzt werde, schreibt Galunski.

Nachtrag vom 14. September 2016, 14:01 Uhr

Oracle hat gepatchte Versionen von MySQL veröffentlicht, eine öffentliche Stellungnahme des Unternehmens gibt es aber noch nicht. Aktuelle Versionen sind 5.5.52, 5.6.33 und 5.7.15.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Fluggastdaten
Regierung dementiert Hackerangriff auf deutsches PNR-System
artikel-bild
Azure
Microsoft betreut MySQL und PostgreSQL in der Cloud
artikel-bild
Cray
Rechenleistung von Supercomputern in der Cloud mieten
Meistgelesen
artikel-bild
Künstliche Intelligenz
So funktionieren KI-Bildgeneratoren
artikel-bild
Whistleblower
USA sollen intaktes außerirdisches Fluggerät besitzen
artikel-bild
Gigatron TTL zusammengebaut
Viel löten, viel Spaß, kein Mikroprozessor
Kommentarübersicht
Re: chattr +i my.conf
scroogie 14. Sep 2016

Nope. Folgende gelten z.B. für mysql 5.5: /etc/my.cnf Global options /etc/mysql...

Re: Wie und wo ist der denn nun Angreifbar?
phade 13. Sep 2016

"As temporary mitigations, users should ensure that no MySQL config files are owned by...

Re: Bobbycar-Experten sind Frühaufsteher...
yoyoyo 13. Sep 2016

Wer glaubt denn bitte wirklich Oracle interessiert sich dafür ob jemand MySQL benutzt...

Aktuell auf der Startseite von Golem.de
heylogin
Der Passwortmanager, der selbst ohne Passwort auskommt

Normalerweise entsperrt man seinen Passwortmanager mit einem Passwort. Doch heylogin geht einen anderen Weg und soll sicherer und komfortabler sein.
Ein Interview von Moritz Tremmel

heylogin: Der Passwortmanager, der selbst ohne Passwort auskommt
Artikel
  1. Verschlüsselungsdienst: Regierung schaltet De-Mail ab
    Verschlüsselungsdienst
    Regierung schaltet De-Mail ab

    "Kaum genutzt, teuer und umständlich": Das Bundesinnenministerium kündigt das Ende von De-Mail in der Verwaltung an

  2. Polaris: Bundeswehr will neues Aerospike-Raketentriebwerk
    Polaris
    Bundeswehr will neues Aerospike-Raketentriebwerk

    Den Auftrag für das neue Triebwerk hat die Bundeswehr an das deutsche Start-up Polaris gegeben, das damit in die Luftfahrtgeschichte eingehen kann.

  3. Playstation Deals bei Media Markt - bis zu 75 Prozent Rabatt
     
    Playstation Deals bei Media Markt - bis zu 75 Prozent Rabatt

    Die Playstation Days of Play bei Media Markt versprechen satte Deals auf jede Menge Games und Zubehör. Es winken bis zu 75 Prozent Rabatt.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Corsair Crystal 570X RGB Mirror 99€, be quiet! Pure Base 500 59€, Patriot Viper VENOM RGB DDR5-6200 32 GB 109€ • Acer XZ322QUS 259€ • Corsair RM750x 108€ • Corsair K70 RGB PRO 135€ • PS5-Spiele & Zubehör bis -75% • Chromebooks bis -32% • NBB: Gaming-Produkte bis -50% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /