Abo
  • Services:
Anzeige
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen.
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

MySQL: Passwörter per Schwachstelle schneller abgleichen

Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen.
Über einen dokumentierten Befehl lassen sich in MySQL Passwörter schnell per Brute Force auslesen. (Bild: Oracle)

Der Hacker Kingcope hat eine weitere Schwachstelle in der Datenbank MySQL beschrieben. Mit Hilfe eines Skripts ließen sich in einem Brute-Force-Angriff bis zu 5.000 Passwörter pro Sekunde auslesen - als unprivilegierter Benutzer.

Brute-Force-Angriffe auf die Datenbank MySQL lassen sich beschleunigen und automatisieren. Das konnte der Hacker Kingcope nachweisen. Er verwendete dabei keine Exploits, sondern lediglich herkömmliche Funktionen der Datenbank. Laut Kingcope handelt es sich um einen kleinen Bug, der bereits dokumentiert ist.

Anzeige

Über den dokumentierten Befehl change_user kann ein unprivilegierter Benutzer einen Kontowechsel vornehmen. Da dieser Befehl deutlich schneller ist als das mehrfache Anmelden bei der Datenbank, nutzte Kingcope sie aus, um Passwortlisten auszuprobieren - sogenannte Brute-Force-Angriffe.

Immer das gleiche Salz in Passwörtern

Da das Salt bei der Passwortüberprüfung über change_user im Gegensatz zur herkömmlichen Anmeldung nicht geändert wird, sei es ein bequemer Weg, um schnell ganze Passwortlisten abzugleichen. Dass MySQL das Salt nicht ändere, sei die eigentliche Schwachstelle, so Kingcope.

In seinen Tests habe er bis zu 5.000 vierstellige Passwörter pro Sekunde über das Netzwerk abgleichen können. Dazu habe er zunächst eine Passwortliste mit John The Ripper erstellen lassen. Mit einem Perl-Skript fütterte er die Datenbank über change_user mit der Passwortliste. Die Ausgabe leitete er in eine Textdatei um. Für den Angriff müsse der Benutzername bekannt sein.

Weitere Schwachstellen gefunden

Erst vor wenigen Tagen hatte Kingcope mehrere Exploits veröffentlicht, mit denen sich unprivilegierte Benutzer Root-Rechte zu MySQL-Datenbanken verschaffen können. Außerdem gibt es eine Schwachstelle, über die gültige Benutzernamen für eine MySQL-Datenbank herausgefunden werden können.


eye home zur Startseite
xviper 04. Dez 2012

Bei vielen Installationen sollte eine Liste der 10000 beliebtesten Passwörter reichen...



Anzeige

Stellenmarkt
  1. TUI Group, Hannover
  2. Bosch Energy and Building Solutions GmbH, Stuttgart-Weilimdorf
  3. Storch-Ciret Business Services GmbH, Wuppertal
  4. SCHIFFL GmbH & Co. KG, Hamburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Stephen Kings Es 8,97€, Serpico 8,97€, Annabelle 8,84€)

Folgen Sie uns
       


  1. Fifa 18 im Test

    Kick mit mehr Taktik und mehr Story

  2. Trekstor

    Kompakte Convertibles kosten ab 350 Euro

  3. Apple

    4K-Filme in iTunes laufen nur auf neuem Apple TV

  4. Bundesgerichtshof

    Keine Urheberrechtsverletzung durch Google-Bildersuche

  5. FedEX

    TNT verliert durch NotPetya 300 Millionen US-Dollar

  6. Arbeit aufgenommen

    Deutsches Internet-Institut nach Weizenbaum benannt

  7. Archer CR700v

    Kabelrouter von TP-Link doch nicht komplett abgesagt

  8. QC35 II

    Bose bringt Kopfhörer mit eingebautem Google Assistant

  9. Nach "Judenhasser"-Eklat

    Facebook erlaubt wieder gezielte Werbung an Berufsgruppen

  10. Tuxedo

    Linux-Notebook läuft bis zu 20 Stunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    SzSch | 03:03

  2. Re: History repeats itself

    Seitan-Sushi-Fan | 03:00

  3. Re: Wie viel muss sich die dubiose "Antiviren...

    bombinho | 02:28

  4. Re: Apple könnte das iPhone auch pünktlich...

    Pjörn | 02:05

  5. Re: Als Android-Nutzer beneide ich euch

    Pjörn | 01:37


  1. 18:13

  2. 17:49

  3. 17:39

  4. 17:16

  5. 17:11

  6. 16:49

  7. 16:17

  8. 16:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel