Nieuws
image

Experts verwachten golf van datalekken door MySQL-lek

dinsdag 19 juni 2012, 16:12 door Redactie, 17 reacties

Een recent ontdekt beveiligingslek in MySQL is zo eenvoudig te misbruiken dat experts een golf van datalekken verwachten. Het gaat om kwetsbaarheid (CVE-2012-2122) in de MySQL en MariaDB databaseservers. Via de kwetsbaarheid heeft een aanvaller een kans van 1 op 256 dat een willekeurig wachtwoord wordt geaccepteerd.

Hoewel de kwetsbare code in verschillende MySQL en MariaDB-versies aanwezig is, zou slechts een beperkt aantal systemen kwetsbaar zijn. Toch is het probleem ernstiger dan gedacht.

Impact
"Dit is zo'n geval dat het op een klein lek lijkt, maar dat er niet voldoende gecoördineerd werd, waardoor iedereen in het onzekere is gelaten", zegt HD Moore, bedenker van hackertool Metasploit. Hij verwacht dat er door het lek meer datalekken zullen plaatsvinden. "Het zal me niet verbazen als we hierdoor een hele reeks datalekken zullen zien, omdat het zo eenvoudig te misbruiken is. Je hoeft geen hacker te zijn om het te doen. Je hoeft maar één regel in te tikken en je krijgt gegarandeerd toegang tot een kwetsbare server."

"Ik heb nog nooit zo'n lek gezien waarbij willekeurig je wachtwoord niet wordt gecontroleerd en je naar binnen kunt", stelt Josh Shaul, CTO van Application Security. Shaul denkt dat vooral kleinere websites en IT-bedrijven kwetsbaar zijn.

Reacties (17)
19-06-2012, 16:28 door Anoniem
Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.
19-06-2012, 16:50 door Whacko
@Anoniem, volgens het artikel waarnaar gelinkt wordt, is 50% van de random gecheckte servers niet beveiligd met IP restrictie. En das best een hoop.
19-06-2012, 17:13 door SirDice
Door Anoniem: Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.
Je zult je nog verbazen hoeveel databases gewoon bereikbaar zijn vanaf het internet.
19-06-2012, 17:49 door Anoniem
zeker linux
19-06-2012, 18:32 door Anoniem
Door Whacko: @Anoniem, volgens het artikel waarnaar gelinkt wordt, is 50% van de random gecheckte servers niet beveiligd met IP restrictie. En das best een hoop.

Dan missen ze vervolgens nog heel erg veel servers die gewoon niet van buiten benaderbaar zijn. Van de tien servers die ik me zo kan herinneren binnen diverse bedrijven is er misschien een van buiten benaderbaar. De rest is in de firewall geblokkeerd.

Peter
19-06-2012, 18:45 door Anoniem
Joshua gaat nog niet zo lang mee blijkbaar, een oude versie van novell netware (2.15 of 2.2 dacht ik) bevatte een identiek lek.
20-06-2012, 07:32 door Anoniem
is mafiaway.nl veilig ?
20-06-2012, 07:52 door meeuw
En waarschijnlijk is phpmyadmin ook gevoelig als gebruik gemaakt wordt van mysql authenticatie.

Ik vraag me af hoe het ontdekt is, iemand die perongeluk het verkeerde wachtwoord gebruikte en toch kon inloggen?
20-06-2012, 09:23 door Anoniem
Door SirDice:
Door Anoniem: Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.
Je zult je nog verbazen hoeveel databases gewoon bereikbaar zijn vanaf het internet.
Uhu klopt, maar er zijn ook maar bepaald aantal systeem gevoelig voor deze exploit. Waardoor het nog kleine kans is dat je mysql kan overnemen.
20-06-2012, 09:46 door Anoniem
Door Anoniem: Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.
Eh grote MySQL databases lijken me juist meer een backend server, welke juist ook op externe IP-adressen benaderbaar zijn.
Grote MySQL databases, zullen eerder wel achter minimaal 1 firewall staan, zodat ze niet rechtstreeks van internet benaderbaar zijn.
20-06-2012, 10:04 door SirDice
Door meeuw: En waarschijnlijk is phpmyadmin ook gevoelig als gebruik gemaakt wordt van mysql authenticatie.
Nee, phpmyadmin maakt geen gebruik van de MySQL authenticatie, het gebruikt z'n eigen authenticatie/autorisatie, en heeft er dus geen last van.
20-06-2012, 11:28 door Anoniem
Door SirDice:
Door Anoniem: Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.
Je zult je nog verbazen hoeveel databases gewoon bereikbaar zijn vanaf het internet.

Tja dat is vragen om problemen, daarnaast zijn de grote distro's hier tegen beveiligd (CentOS, RHEL, dacht ook Ubuntu).
Groot lek, maar imho voor de meeste Nederlandse serieuze bedrijven Low impact/Low probability.

Storm in een glas water?
20-06-2012, 17:18 door Anoniem
Door Anoniem: Zal wel meevallen. Grote MySQL databases zijn bijna altijd enkel via localhost te bereiken.

Bron?
20-06-2012, 21:16 door Anoniem
"Ik heb nog nooit zo'n lek gezien waarbij willekeurig je wachtwoord niet wordt gecontroleerd en je naar binnen kunt"

Ik wel, het Solaris 10 telnet probleem van 5 jaar geleden.
https://isc.sans.edu/diary.html?storyid=2220
20-06-2012, 21:59 door Anoniem
Door SirDice:
Door meeuw: En waarschijnlijk is phpmyadmin ook gevoelig als gebruik gemaakt wordt van mysql authenticatie.
Nee, phpmyadmin maakt geen gebruik van de MySQL authenticatie, het gebruikt z'n eigen authenticatie/autorisatie, en heeft er dus geen last van.

PhpMyAdmin maakt wel degelijk gebruik van de MySQL server authenticatie (mysqli_connect). Dus ook via PhpMyAdmin is deze lek te misbruiken.
21-06-2012, 11:30 door SirDice
Door Anoniem:
Door SirDice:
Door meeuw: En waarschijnlijk is phpmyadmin ook gevoelig als gebruik gemaakt wordt van mysql authenticatie.
Nee, phpmyadmin maakt geen gebruik van de MySQL authenticatie, het gebruikt z'n eigen authenticatie/autorisatie, en heeft er dus geen last van.

PhpMyAdmin maakt wel degelijk gebruik van de MySQL server authenticatie (mysqli_connect). Dus ook via PhpMyAdmin is deze lek te misbruiken.
Hmmm... Je hebt helemaal gelijk. Ik had 't fout.

Many people have difficulty understanding the concept of user management with regards to phpMyAdmin. When a user logs in to phpMyAdmin, that username and password are passed directly to MySQL. phpMyAdmin does no account management on its own (other than allowing one to manipulate the MySQL user account information); all users must be valid MySQL users.
http://www.phpmyadmin.net/documentation/
24-06-2012, 21:37 door Anoniem
Lekker veilig opensource. Ik ben benieuwd hoelang het duurt voordat het gepatched wordt met een automatische update.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure