Datenbanksoftware MySQL-Server mit Sicherheitslücke

Datenbanksoftware angreifbar

Wie golem.de unter Berufung auf den Sicherheitsforscher Dawid Golunski berichtete, hat dieser eine kritische Sicherheitslücke in der weit verbreiteten Datenbanksoftware MySQL gefunden. Angreifer können hiermit manipulierte Dateien ablegen und sogar die komplette Kontrolle über den Oracle-MySQL-Server übernehmen.

Obwohl das Sicherheitsleck von Golunski bereits am 29. Juli 2016 an Oracle gemeldet und vom Sicherheitsteam bestätigt wurde gibt es bisher keinen Patch. Neben Oracle sollen auch die ebenfalls  Hersteller PerconaDB und MariaDB informiert worden sein. Beide haben die Lücke bereits mit Patch vom 30.August geschlossen.

Fernzugriff möglich

Wie Golunski ermittelte, bestehen zwei Sicherheitslücken, die folgende Bezeichnungen erhielten:

• CVE-2016-6662
• CVE-2016-6663

Die Lücke CVE-2016-6662 ermöglicht es einem Angreifer, aus der Ferne oder am Rechner individuelle Datenbankeinstellungen in die MySQL-Einstellungen (my.conf) zu schreiben. Daneben ist es möglich, die lokale My.conf-Datei zu verändern und bösartigen Angriffscode einzuschleusen, der dann mit Root-Rechten ausgeführt wird.

Die Lücke CVE-2016-6663 soll es über eine Rechteeskalation ermöglichen, Code mit Root-Rechten auszuführen, auch ohne File-Berechtigung.

Generell sind nur Installationen, die in der Standardeinstellung laufen betroffen. Laut Golunski können Angreifer legitimen Traffic über Phpmyadmin nachahmen oder Code per SQL-Injektionen einschleusen.