Abo
  • Services:
Anzeige
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen.
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

MySQL: Passwörter per Schwachstelle schneller abgleichen

Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen.
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

Der Hacker Kingcope hat eine weitere Schwachstelle in der Datenbank MySQL beschrieben. Mit Hilfe eines Skripts ließen sich in einem Brute-Force-Angriff bis zu 5.000 Passwörter pro Sekunde auslesen - als unprivilegierter Benutzer.

Brute-Force-Angriffe auf die Datenbank MySQL lassen sich beschleunigen und automatisieren. Das konnte der Hacker Kingcope nachweisen. Er verwendete dabei keine Exploits, sondern lediglich herkömmliche Funktionen der Datenbank. Laut Kingcope handelt es sich um einen kleinen Bug, der bereits dokumentiert ist.

Anzeige

Über den dokumentierten Befehl change_user kann ein unprivilegierter Benutzer einen Kontowechsel vornehmen. Da dieser Befehl deutlich schneller ist als das mehrfache Anmelden bei der Datenbank, nutzte Kingcope sie aus, um Passwortlisten auszuprobieren - sogenannte Brute-Force-Angriffe.

Immer das gleiche Salz in Passwörtern

Da das Salt bei der Passwortüberprüfung über change_user im Gegensatz zur herkömmlichen Anmeldung nicht geändert wird, sei es ein bequemer Weg, um schnell ganze Passwortlisten abzugleichen. Dass MySQL das Salt nicht ändere, sei die eigentliche Schwachstelle, so Kingcope.

In seinen Tests habe er bis zu 5.000 vierstellige Passwörter pro Sekunde über das Netzwerk abgleichen können. Dazu habe er zunächst eine Passwortliste mit John The Ripper erstellen lassen. Mit einem Perl-Skript fütterte er die Datenbank über change_user mit der Passwortliste. Die Ausgabe leitete er in eine Textdatei um. Für den Angriff müsse der Benutzername bekannt sein.

Weitere Schwachstellen gefunden

Erst vor wenigen Tagen hatte Kingcope mehrere Exploits veröffentlicht, mit denen sich unprivilegierte Benutzer Root-Rechte zu MySQL-Datenbanken verschaffen können. Außerdem gibt es eine Schwachstelle, über die gültige Benutzernamen für eine MySQL-Datenbank herausgefunden werden können.


eye home zur Startseite
xviper 04. Dez 2012

Bei vielen Installationen sollte eine Liste der 10000 beliebtesten Passwörter reichen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. Deutsche Lufthansa AG, Frankfurt am Main
  3. Bosch Healthcare Solutions GmbH, Waiblingen
  4. ETAS GmbH & Co. KG, Stuttgart


Anzeige
Top-Angebote
  1. 3,74€
  2. 30,99€
  3. und mit Gutscheincode bis zu 40€ Rabatt erhalten bei Alternate.de

Folgen Sie uns
       


  1. Android P

    Hintergrundaktivitäten von Apps werden stärker beschränkt

  2. Online-Glücksspiele

    Bei Finanzsperren droht illegale Vorratsdatenspeicherung

  3. Betaversionen

    AirPlay 2 aus iOS und TVOS 11.3 entfernt

  4. Homee

    Homekit mit Z-Wave, Zigbee und Enocean verbinden

  5. Apfel

    Apple lässt sich Regenbogenlogo schützen

  6. A350-1000

    Airbus' größter zweistrahliger Jet wird ausgeliefert

  7. Flightsim Labs

    Flugsimulator-Addon klaut bei illegalen Kopien Passwörter

  8. Entdeckertour angespielt

    Assassin's Creed Origins und die Spur der Geschichte

  9. Abwehr

    Qualcomm erhöht Gebot für NXP um 5 Milliarden US-Dollar

  10. Rockpro64

    Bastelplatine kommt mit USB-C, PCIe und Sechskernprozessor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Die Praxis wird noch zunehmen

    ArcherV | 08:21

  2. Re: Zielgruppe?

    sofries | 08:20

  3. Re: Aktueller denn je

    tromboner | 08:19

  4. Selbst verschuldet.

    Shoopi | 08:17

  5. Re: Ernsthafte Frage.

    Pixel5 | 08:15


  1. 08:33

  2. 08:01

  3. 07:41

  4. 07:24

  5. 07:12

  6. 23:10

  7. 17:41

  8. 17:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel