image

Duizenden Ubuntu-servers kwetsbaar voor MySQL-lek

maandag 11 juni 2012, 11:54 door Redactie, 10 reacties

Tienduizenden Ubuntu-servers zijn mogelijk kwetsbaar voor een lek in MySQL waardoor aanvallers de authenticatie kunnen omzeilen en toegang tot de database kunnen krijgen. Het gaat om kwetsbaarheid (CVE-2012-2122) in de MySQL en MariaDB databaseservers. Het lek zou onlangs gepatcht zijn, aldus H.D. Moore van Rapid7 en tevens bedenker van hackertool Metasploit.

Via de kwetsbaarheid heeft een aanvaller een kans van 1 op 256 dat een willekeurig wachtwoord wordt geaccepteerd. Hoewel de kwetsbare code in verschillende MySQL en MariaDB-versies aanwezig is, loopt slechts een klein aantal systemen risico, stelt Moore. Het gaat dan om het gebruik van een specifieke geheugenroutine. Voor zover bekend zijn Ubuntu Linux 64-bit, OpenSuse 12.1 64-bit MySQL 5.5.23-log, Fedora 16 64-bit en Arch Linux kwetsbaar.

Metasploit
De meeste Linux-distributues zouden inmiddels al over een patch beschikken en anders zal die snel verschijnen, laat Moore weten. De beveiligingsonderzoeker analyseerde 1,74 miljoen MySQL-servers op internet. Daarbij vond hij 44.000 Ubuntu-systemen. Het is echter onbekend of het hier om de 32-bit of de kwetsbare 64-bit versie gaat.

Inmiddels is er een module aan hackertool Metasploit toegevoegd, die het aanvallen van de kwetsbaarheid een stuk eenvoudiger maakt. Daarnaast dumpt de module ook de wachtwoorden database. Als de kwetsbaarheid wordt verholpen, zouden aanvallers via de de gekraakte wachtwood-hashes nog steeds toegang tot de databases kunnen krijgen.

Reacties (10)
11-06-2012, 12:04 door Anoniem
So far, the following systems have been confirmed as vulnerable:

Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc )
OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
Fedora 16 64-bit ( via hexed )
Arch Linux (unspecified version)

Feedback so far indicates the following platforms are NOT vulnerable:

Official builds from MySQL and MariaDB (including Windows)
Red Hat Enterprise Linux, CentOS (32-bit and 64-bit) [ not conclusive ]
Ubuntu Linux 32-bit (10.04, 11.10, 12.04, likely all)
Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
Debian Linux lenny 32-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.0.51a-24+lenny5 ( via @matthewbloch )
Debian Linux lenny 64-bit 5.1.51-1-log ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.49-3-log ( via @matthewbloch )
Debian Linux squeeze 32-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Debian Linux squeeze 64-bit 5.1.61-0+squeeze1 ( via @matthewbloch )
Gentoo 64-bit 5.1.62-r1 ( via @twit4c )
SuSE 9.3 i586 MySQL 4.1.10a ( via @twit4c )

Bron: https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
11-06-2012, 12:55 door wica128
we zullen de komende weken wel weer de nodige MySQL dumps te zien krijgen :/
11-06-2012, 13:38 door [Account Verwijderd]
[Verwijderd]
11-06-2012, 17:04 door Anoniem
Door Hugo:
Door wica128: we zullen de komende weken wel weer de nodige MySQL dumps te zien krijgen :/
Denk het niet. Standaard luistert MySQL alleen naar localhost. Ik verwacht niet dat veel beheerders MySQL direct voor het internet beschikbaar hebben gesteld.

Vergeet niet dat hiermee root access tot de MySQL database is te verkrijgen en zo (onder meer) klanten van webhosting bedrijven tot de gegevens (lees: wachtwoorden, privé gegens etcetera) van andere partijen kunnen komen. Als je even goed doordenkt kan dit eventueel desastreuze gevolgen hebben.

Los daarvan, het zal je nog verbazen hoeveel MySQL databases van buitenaf benaderbaar zijn, vooral als de database op een andere server is gehost dan bijv een website die er gebruik van maakt.
11-06-2012, 18:20 door tuxick
truuk werkt ook bij debian testing
11-06-2012, 18:26 door [Account Verwijderd]
[Verwijderd]
11-06-2012, 20:47 door Anoniem
Zou het ook werken als je heel hard phpmyadmin login-request verstuurd?
11-06-2012, 22:55 door Anoniem
Dit mag wel een beetje genuanceerd worden. De official builds bijv. (wat de meesten installeren), zijn niet vuln.
12-06-2012, 10:15 door SirDice
Door Anoniem: Zou het ook werken als je heel hard phpmyadmin login-request verstuurd?
Nee, die maakt geen gebruik van de MySQL authenticatie. Bedenk dat phpmyadmin op een enkel MySQL account werkt en de "gebruikers" in PMA worden in PMA specifieke tabellen opgeslagen. De authenticatie en autorisatie worden door PMA geregeld, niet door MySQL.
12-06-2012, 15:28 door RickDeckardt
En de update is al uitgerold.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.