Zu
http://seclists.org/fulldisclosure/2012/Dec/58
Der Angreifer muss nur die Möglichkeit bekommen, auf einen beliebiges MySQL-Account zuzugreifen.
Da die meisten WebApps Zugangsdaten für einen MySQL-Account in ihrer Konfiguration hinterlegt haben, genügt also der Zugriff auf diese Daten und zusätzlich die Möglichkeit eigene Befehle an MySQL zu übergeben. Letzteres kann zum Beispiel durch Einschleusen/Hochladen eines Scripts in irgendeiner WebApp (diese muss nichtmal Datenbankgesteuert sein) geschehen.
Es kann auch ein Shell-User per mysql-Client den Bug ausnutzen, oder per Crontab (bei vielen Admin-Panels für Kunden aktiv) und dort hinterlegtem Script.
Der angegriffene MySQL-Account benötigt für
http://seclists.org/fulldisclosure/2012/Dec/58 das Recht change_user.
Das "ein Benutzer pro Session" bezieht sich darauf, dass MySQL für neu generierte Passworte innerhalb der selben Session immer den gleichen SALT verwendet, wodurch das knacken von weiteren Accounts erheblich vereinfacht wird.
Daher meine Empfehlung für jede Passwortänderung/erstellung eine neue Session zu starten. Es verhindert zwar nicht den erfolgreichen Angriff, verlangsamt ihn aber für den Angreifer spürbar.
Die anderen Bugs sind zwar auch gefährlich, aber obiger ist der für Angreifer interessanteste und am Einfachsten durchzuführende Angriff und es sind hierfür bereits die ersten primitiven Exploits im Umlauf.
Wie immer gilt: Die pösen Buben sind kreativ und die von mir genannten Einfallstore sind nicht alle.