image

Zero-day MySQL-lek geeft gebruikers adminrechten

maandag 3 december 2012, 10:17 door Redactie, 8 reacties

Een zero-day beveiligingslek in MySQL, een opensource-managementsysteem voor relationele databases, maakt het mogelijk dat gebruikers beheerdersrechten krijgen. De kwetsbaarheid werd ontdekt door de bekende beveiligingsonderzoeker Kingcope. Om het lek te misbruiken moet een aanvaller toegang tot een MySQL database hebben via een gebruiker die over bepaalde rechten beschikt.

Vervolgens is het mogelijk een administrator-account aan te maken. "Normaliter zou Oracle voor MySQL-problemen een CVE-nummer toekennen. In dit geval zitten we met een tijdlimiet. Het is weekend en dit staat op springen, en de gevolgen zijn vrij ernstig", aldus Kurt Seifried van het Red Hat Team. Dat heeft CVE-nummer 2012-5613 aan het lek toegekend. MySQL wordt door zeer veel websites op het internet gebruikt.

Beveiligingsonderzoeker Eric Romang maakte onderstaande video waarin de exploit, waarvoor nog geen patch is, gedemonstreerd wordt.

Reacties (8)
03-12-2012, 11:44 door Anoniem
Dit is geen lek, het is een gevolg van een verkeerd geconfigureerde MySQL server.

Dit 'lek' maakt gebruik van FILE-privilege in MySQL en er staat heel vaak in de MySQL manual een expliciete waarschuwing bij het gebruik van FILE-privilege.

Tot slot: sinds MySQL 5.0.38 is er een optie die ervoor zorgt dat alle file-operations alleen in een gespecificeerde directory werken: --secure-file-priv.
03-12-2012, 12:05 door AdVratPatat
Ik kan nergens terugvinden welke rechten benodigd zijn om een admin-account aan te maken...!!!?
(EDIT: Aanvulling: met behulp van dit lek)
03-12-2012, 12:31 door Anoniem
Door AdVratPatat: Ik kan nergens terugvinden welke rechten benodigd zijn om een admin-account aan te maken...!!!?
(EDIT: Aanvulling: met behulp van dit lek)
In het stukje perl wat zeg maar de hele aankondiging is staat dat je een account nodig hebt waarmee je "trigger files" kan aanmaken. Dus "file", en wellicht is dat al voldoende cq dat "trigger" niet nodig is. Plus dat de server gevoelig moet zijn voor een eerder ontdekte stack overflow, want daarmee wordt'ie gecrasht zodat'ie opnieuw opstart en de net gemaakte trigger files inleest.
03-12-2012, 12:33 door Anoniem
@AdVratPatat: in het linkje onder Kingcope staat precies beschreven hoe de exploit werkt, hiervoor is de privilege file nodig.
03-12-2012, 12:57 door Anoniem
Moet hier voor server op zelfde machine draaien als waar op script gerund wordt?
03-12-2012, 13:21 door Security Scene Team
Door AdVratPatat: Ik kan nergens terugvinden welke rechten benodigd zijn om een admin-account aan te maken...!!!?
(EDIT: Aanvulling: met behulp van dit lek)

File.

go go kid break the systems. lol

btw kingCope heeft meerdere 0days regeleased hoor..
03-12-2012, 16:06 door AdVratPatat
Door Anoniem:
Door AdVratPatat: Ik kan nergens terugvinden welke rechten benodigd zijn om een admin-account aan te maken...!!!?
(EDIT: Aanvulling: met behulp van dit lek)
In het stukje perl wat zeg maar de hele aankondiging is staat dat je een account nodig hebt waarmee je "trigger files" kan aanmaken. Dus "file", en wellicht is dat al voldoende cq dat "trigger" niet nodig is. Plus dat de server gevoelig moet zijn voor een eerder ontdekte stack overflow, want daarmee wordt'ie gecrasht zodat'ie opnieuw opstart en de net gemaakte trigger files inleest.

En

Door Anoniem: @AdVratPatat: in het linkje onder Kingcope staat precies beschreven hoe de exploit werkt, hiervoor is de privilege file nodig.
Bedankt, daar had ik overheen gekeken...
03-12-2012, 22:52 door Preddie
Door Security Scene Team:
Door AdVratPatat: Ik kan nergens terugvinden welke rechten benodigd zijn om een admin-account aan te maken...!!!?
(EDIT: Aanvulling: met behulp van dit lek)

File.

go go kid break the systems. lol

btw kingCope heeft meerdere 0days regeleased hoor..

Yep, hij ging flink te keer op de full disclosure mailing van afgelopen weekend
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.