Datenbanksoftware angreifbar
Wie golem.de unter Berufung auf den Sicherheitsforscher Dawid Golunski berichtete, hat dieser eine kritische Sicherheitslücke in der weit verbreiteten Datenbanksoftware MySQL gefunden. Angreifer können hiermit manipulierte Dateien ablegen und sogar die komplette Kontrolle über den Oracle-MySQL-Server übernehmen.
Obwohl das Sicherheitsleck von Golunski bereits am 29. Juli 2016 an Oracle gemeldet und vom Sicherheitsteam bestätigt wurde gibt es bisher keinen Patch. Neben Oracle sollen auch die ebenfalls Hersteller PerconaDB und MariaDB informiert worden sein. Beide haben die Lücke bereits mit Patch vom 30.August geschlossen.
Fernzugriff möglich
Wie Golunski ermittelte, bestehen zwei Sicherheitslücken, die folgende Bezeichnungen erhielten:
- CVE-2016-6662
- CVE-2016-6663
Die Lücke CVE-2016-6662 ermöglicht es einem Angreifer, aus der Ferne oder am Rechner individuelle Datenbankeinstellungen in die MySQL-Einstellungen (my.conf) zu schreiben. Daneben ist es möglich, die lokale My.conf-Datei zu verändern und bösartigen Angriffscode einzuschleusen, der dann mit Root-Rechten ausgeführt wird.
Die Lücke CVE-2016-6663 soll es über eine Rechteeskalation ermöglichen, Code mit Root-Rechten auszuführen, auch ohne File-Berechtigung.
Generell sind nur Installationen, die in der Standardeinstellung laufen betroffen. Laut Golunski können Angreifer legitimen Traffic über Phpmyadmin nachahmen oder Code per SQL-Injektionen einschleusen.
Was können Nutzer tun?
Noch ist kein Patch der Lücken in Sicht. Bis Oracle das Problem gelöst hat können Nutzer das Problem begrenzen, indem sie sicherstellen, dass keine der MySQL-Konfigurationsdateien im Besitz von mysql_user ist. Außerdem sollten Nutzer eine Dummy-Version von my.cnf erstellen, die im Besitz von Root sei, aber nicht genutzt werde, rät Galunski.
Weiterführende Links:
Oracle Tochter offenbar von russischen Hackern heimgesucht worden
Cyberkriminelle nutzen Oracle – Patchzyklus aus
Dawid Golunski legalhackers.com
golem.de: Kritische, ungepatchte Zeroday-Lücke in MySQL-Server