RootForum Community

Betr.:
http://www.heise.de/newsticker/meldung/ ... 14987.html

Hier wird beschrieben, dass man ohne PW eine Mysql Anmeldung hin bekommt.
Bei einigem Server gibt es tatsächlich von der Shell aus.

Leider wird nicht beschrieben, wie man das ausnutzt.
Braucht man hier ein (Root)Login in die Shell?
Oder kann man über http, also http://www.abc?.... diese Lücke ausnutzen?
Wenn es nur über einer Shell geht, ist die Gefahr relativ klein,
wenn es nur ein Admin gibt.
Mysql sollte natürlich nicht fürs Web frei gegeben werden, nur LOCAL!


Braucht das System überhaupt ein Mysql-User names Root?
oder kann man die einfach löschen oder umbenennen?

Ausnutzen lässt sich das sowohl local (immer) als auch remote (sofern MySQL am NIC lauscht) und natürlich über WebApps (immer).

MySQL benötigt einen Root-User, allerdings ist dessen Name egal, so dass man ihn auch umbenennen kann.

Diese Schwachstelle muss aber mit einem Update behoben werden, da man an den Namen des MySQL-Root-Users fast immer problemlos ran kommt.

Man könnte Ihne auch admin nennen.
Wer Plesk einsetzt sollte nochmals ganz explizit prüfen, dass auch der externe Zugriff per Firewall oder entsprechender Konfiguration nicht gestattet ist.
Wobei... wenn jemand tatsächlich massenhaft Kunden hostet, dann besteht natürlich ein erhebliches Risiko, dass es einer der Kunden vieleicht ausprobiert.

amiga1200 wrote:Braucht man hier ein (Root)Login in die Shell?

Nein - einfacher Zugang reicht. Auf Heise steht nur ein Beispiel - Perl, Shell, PHP - eigentlich egal.
Das Problem ist eher eine - vereinfacht gesagt - eine falsche Auswertung von Passwort-Hashes dass innerhalb einer überschaubaren Zeit falsche Kennwörter einen "richtigen" Hash liefern den MySQL akzeptiert.

amiga1200 wrote:Braucht das System überhaupt ein Mysql-User names Root?

Nein - "root" ist ein Synonym für "Administrator".

amiga1200 wrote:oder kann man die einfach löschen oder umbenennen?

Ja - kann man ohne Probleme. Nur beim löschen vorsichtig sein, ohne User der nicht über entsprechende Rechte verfügt wird die Administration schwierig. ;)

Ich benenne meist "root" um, schränke dann noch zusätzlich ein - "mein_admin@localhost" - da MySQL hier durchaus TCP Verbindungen zulässt (Chroot, Jail Umgebung).