Lücke in der MySQL-Authentifizierung: Bin ich gefährdet?
Kommentare

Auf dba square wurde eine Anleitung veröffentlicht, mit der Ihr Eure MySQL-Verbindung auf die unlängst von Sergei Golubchik offengelegte Sicherheitslücke überprüfen könnt. Diese betrifft sämtliche

Auf dba square wurde eine Anleitung veröffentlicht, mit der Ihr Eure MySQL-Verbindung auf die unlängst von Sergei Golubchik offengelegte Sicherheitslücke überprüfen könnt. Diese betrifft sämtliche MariaDB- und MySQL-Datenbanken, ausgenommen MariaDB 5.1.62, 5.2.12, 5.3.6, 5.5.23 und MySQL 5.1.63, 5.5.24, 5.6.6. Hier war es möglich, sich über einen bekannten Benutzernamen (meistens „root“), aber mit einem zufälligen Passwort Zugriff zur Datenbank zu verschaffen.

Fügt hierzu in die Kommandozeile for i in `seq 1 2000`; do mysql -u root –password=somerandomcharacters -h 127.0.0.1 ; done ein. Alternativ eignen sich auch for i in {1.. 2000}; do mysql -u root –password=somerandomcharacters -h 127.0.0.1 ; done oder for i in `jot – 1 2000`; do mysql -u root –password=somerandomcharacters -h 127.0.0.1 ; done. Falls Ihr anschließend eingeloggt seid und mysql&#62 in der Kommandozeile auftaucht, solltet Ihr Euch die jüngsten Versionen von MySQL beziehungsweise MariaDB installieren, die von der Lücke nicht mehr betroffen sind.

Als langfristige Sicherheitstipps rät dba-square-Autor Thomas zu folgenden Maßnahmen:

  • Lasst Euren MySQL-Server nie auf ein Netzwerk-Interface hören, das über das Internet zu erreichen ist. (Falls nötig, setzt eine bind-address in der my.cnf)
  • Erstellt Firewall-Regeln, die alle Adressen filtern, die keinen Datenbankzugriff benötigen
  • Erstellt einen neuen MySQL-User mit höchsten Rechten und löscht anschließend den „root“-Account
  • löscht auch den „test“-Account
  • Macht Updates, sobald die Sicherheitslücken Eurer Datenbank bekannt werden!
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -