MySQL-Datenbank-Zugang auch ohne Passwort

Rund um die Sicherheit des Systems und die Applikationen
amiga1200
Posts: 208
Joined: 2007-01-13 19:58

MySQL-Datenbank-Zugang auch ohne Passwort

Post by amiga1200 » 2012-06-12 09:26

Betr.:
http://www.heise.de/newsticker/meldung/ ... 14987.html

Hier wird beschrieben, dass man ohne PW eine Mysql Anmeldung hin bekommt.
Bei einigem Server gibt es tatsächlich von der Shell aus.

Leider wird nicht beschrieben, wie man das ausnutzt.
Braucht man hier ein (Root)Login in die Shell?
Oder kann man über http, also http://www.abc?.... diese Lücke ausnutzen?
Wenn es nur über einer Shell geht, ist die Gefahr relativ klein,
wenn es nur ein Admin gibt.
Mysql sollte natürlich nicht fürs Web frei gegeben werden, nur LOCAL!


Braucht das System überhaupt ein Mysql-User names Root?
oder kann man die einfach löschen oder umbenennen?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: MySQL-Datenbank-Zugang auch ohne Passwort

Post by Joe User » 2012-06-12 11:21

Ausnutzen lässt sich das sowohl local (immer) als auch remote (sofern MySQL am NIC lauscht) und natürlich über WebApps (immer).

MySQL benötigt einen Root-User, allerdings ist dessen Name egal, so dass man ihn auch umbenennen kann.

Diese Schwachstelle muss aber mit einem Update behoben werden, da man an den Namen des MySQL-Root-Users fast immer problemlos ran kommt.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: MySQL-Datenbank-Zugang auch ohne Passwort

Post by ddm3ve » 2012-06-12 11:27

Man könnte Ihne auch admin nennen.
Wer Plesk einsetzt sollte nochmals ganz explizit prüfen, dass auch der externe Zugriff per Firewall oder entsprechender Konfiguration nicht gestattet ist.
Wobei... wenn jemand tatsächlich massenhaft Kunden hostet, dann besteht natürlich ein erhebliches Risiko, dass es einer der Kunden vieleicht ausprobiert.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: MySQL-Datenbank-Zugang auch ohne Passwort

Post by rudelgurke » 2012-06-12 11:29

amiga1200 wrote:Braucht man hier ein (Root)Login in die Shell?


Nein - einfacher Zugang reicht. Auf Heise steht nur ein Beispiel - Perl, Shell, PHP - eigentlich egal.
Das Problem ist eher eine - vereinfacht gesagt - eine falsche Auswertung von Passwort-Hashes dass innerhalb einer überschaubaren Zeit falsche Kennwörter einen "richtigen" Hash liefern den MySQL akzeptiert.

amiga1200 wrote:Braucht das System überhaupt ein Mysql-User names Root?


Nein - "root" ist ein Synonym für "Administrator".

amiga1200 wrote:oder kann man die einfach löschen oder umbenennen?


Ja - kann man ohne Probleme. Nur beim löschen vorsichtig sein, ohne User der nicht über entsprechende Rechte verfügt wird die Administration schwierig. ;)

Ich benenne meist "root" um, schränke dann noch zusätzlich ein - "mein_admin@localhost" - da MySQL hier durchaus TCP Verbindungen zulässt (Chroot, Jail Umgebung).