Thema: Lücken in Datenbank MySQL gefährden Server

[SiLæncer]

Der Sicherheitsspezialist Stefano Di Paola hat mehrere Schwachstellen in der Open-Source-Datenbank MySQL aufgedeckt, die ein auf dem System angemeldeter Nutzer zum Erhöhen seiner Zugriffsrechte missbrauchen kann. Di Paola hat dazu auch bereits zwei Proof-of-Concept-Exploits veröffentlicht. Die Fehler sind in den Versionen für den produktiven Einsatz 4.0.23 und 4.1.10 und früher enthalten. Die Lücken sollen in den Versionen 4.0.24 und 4.1.10a beseitigt sein.

Der erste Fehler findet sich in der Funktion udf_init() und ermöglicht einem Angreifer das Laden und Ausführen eigener Bibliotheken mit den Rechten des MySQL-Daemons. Der Angreifer muss dazu allerdings INSERT- und DELETE-Rechte in der Datenbank besitzen. Mit bestimmten CREATE-FUNCTION-Befehlen sollen Anwender zudem eigenen Code in das System einbringen und starten können. Auch hier sind wieder INSERT- und DELETE-Rechte notwendig. Die letzte Schwachstelle beruht auf dem temporären Anlegen von Dateien mit dem Befehl CREATE TEMPORARY TABLE. Mit einer Sym-Link-Attacke lassen sich auf dem Server so beliebige Dateien überschreiben, etwa um das System zu beschädigen.

Quelle : www.heise.de

[SiLæncer]

Neue FreeRadius-Pakete des Linux-Distributors Gentoo sollen zwei Sicherheitslücken beseitigen. Die Entwickler der Open-Source-Lösung haben ebenfalls eine neue Version 1.0.2 zur Verfügung gestellt. Ob darin allerdings beide Lücken beseitigt sind, ist dem Changelog nicht zu entnehmen.

Die Funktion sql_escape_func enthält einen Buffer Overflow, mit der Angreifer eigene Programme auf dem Server ausführen können. Zudem ermöglicht eine SQL-Injection-Schwachstelle in radius_xlat() den Zugriff auf vertrauliche Daten, etwa RADIUS-Nutzerkonten. Beide Lücken lassen sich über das Netzwerk ausnutzen und erfordern die Übergabe präparierter Parameter. Allerdings muss der Angreifer sich am Server vorher anmelden.

Quelle und Links : http://www.heise.de/security/news/meldung/59649

[SiLæncer]

Der Linux-Distributor Gentoo hat eine Schwachstelle in den GNU Mailutils gemeldet, mit der Angreifer über das Netzwerk eigene Kommandos an die benutzte SQL-Datenbank übergeben können. Das Problem tritt laut Gentoo nur auf, wenn die Mailutils für MySQL oder Postgresql mit dem USE-Flag übersetzt wurden. Dann würde die Funktion sql_escape_string des Authentifizierungsmoduls Escape-Zeichen nicht ausfiltern. Betroffen sind unter Gentoo die Versionen vor 0.6-r1. Der Distributor bietet Pakete zum Download an, die den Fehler nicht mehr enthalten. In der Original-Version auf gnu.org soll der Fehler seit 0.6.1 nicht mehr enthalten sein.

Quelle und Links : http://www.heise.de/security/news/meldung/60409

[SiLæncer]

Die Revision 4.1.13 der Datenbank MySQL schließt eine Sicherheitslücke der Kompressionsbibliothek zlib. Die vor kurzem entdeckte Schwachstelle kann von Angreifern missbraucht werden, um MsSQL zum Absturz zu bringen oder eigenen Code einzuschleusen.

Auch andere Fehler wurden beseitigt, darunter Schwächen in der Fehlerbehandlung bei der Ver- und Entschlüsselung per DES. Zu den Detailverbesserungen gehört, dass die Funktion SHOW BINARY LOGS jetzt auch die Größe aller Dateien angibt. Eine vollständige Liste aller Neuerungen findet sich im offiziellen Change Log. Auch die Betaversion 5.0.10 enthält den Sicherheits-Patch. MySQL 5.0 befindet sich derzeit aber noch im Teststadium und ist noch nicht zur allgemeinen Verwendung freigegeben.

Die zlib-Bibliothek kommt in zahlreichen Projekte zum Einsatz. Die Updates für die Bibliothek selbst helfen nicht bei jeder Anwendung, da einige statische Links zu veralteten Versionen enthalten oder den Quelltext komplett eingebunden haben. Spezielle Signaturen für den Antiviren-Scanner ClamAV helfen beim Aufspüren solchermaßen verletzlicher Programme.

Quelle und Links : http://www.heise.de/newsticker/meldung/62014

[SiLæncer]

Mehrere Linux-Distributoren stellen Updates für die Open-Source-Datenbank MySQL bereit. Sie beseitigen einen Fehler, durch den sich möglicherweise aus dem Netz eingeschleuster Code mit den Rechten des Dienstes ausführen lässt. Um den Pufferüberlauf auszulösen, muss der benutzte Zugang allerdings die Berechtigung zum Anlegen neuer Funktionen haben.

Der Fehler wird einmal mehr durch Zeichenpuffer fester Größe verursacht. Dieser lässt sich aus dem Netz mit überlangen Inhalten überschreiben. Dies ist besonders im Zusammenspiel mit fehlerhafter Software relevant, die MySQL als Back-End einsetzt -- hier könnten Berechtigungen zum Anlegen benutzerdefinierter Funktionen vorliegen.

Die MySQL-Entwickler haben die Lücke bereits vor einiger Zeit stillschweigend behoben. Versionen ab 4.0.25, 4.1.13 und der Beta 5.0.7 der Datenbank enthalten den Fehler nicht mehr. Am 8. August veröffentlichten die Entdecker von Application Security ein Advisory, stuften das Problem aber nicht als kritisch ein. Allerdings haben mittlerweile diverse Sicherheitsdatenbanken wie Securityfocus den Fehler auf kritisch hochgestuft. Nun folgen die fälligen Updates der Distributoren, Mandriva und Ubuntu eröffnen den Reigen.

Wer ältere Versionen einsetzt, sollte entweder aktualisierte Pakete des Distributors einspielen oder die Berechtigung zum Anlegen benutzerdefinierter Funktionen auf einen vertrauenswürdigen Benutzerkreis einschränken.

Siehe dazu auch:

    * Security Advisory von Mandriva
    * Security Advisory von Ubuntu
    * Datenbankeintrag auf Securityfocus
    * Original-Advisory von Application Security

Quelle und Links : http://www.heise.de/newsticker/meldung/63920

[SiLæncer]

Die Entwickler von MySQL haben neue Versionen ihrer Datenbank veröffentlicht, in denen neben diversen Fehlern auch eine Schwachstelle beseitigt ist, über die SQL-Injection möglich war. Die Lücke steckt in der Funktion mysql_real_escape_string(), die bestimmte Zeichen einer Multibyte-Zeichenkette nicht richtig ausfiltert. Eigentlich soll gerade diese Funktion SQL-Injection über fehlerhafte Skripten mittels das Einfügen von Escape-Zeichen verhindern. Unter bestimmten Umständen ist dies aber dennoch möglich. Anwender, die die eine neue Version nicht installieren können, sollten laut Fehlerbericht die Datenbank im SQL-Mode NO_BACKSLASH_ESCAPES SQL betreiben.

Siehe dazu auch:

    * Changes in release 5.0.22, Meldung von MySQL
    * Changes in release 4.1.20, Meldung von MySQL
    * Changes in release 5.1.11 (Not yet released), Meldung von MySQL


Quelle und Links : http://www.heise.de/security/news/meldung/73804

------------------------------------

Wohin das führte war ja vor einigen Tagen auf dvbdream.de zu sehen ......

[SiLæncer]

Das Chaos Communication Camp hat noch nicht mal angefangen, da stehen schon die ersten "gehackten" Web-Seiten in der "Hall of Shame". Üblicherweise gibt es einen Anstieg derartiger Versuche während des Sommerzeltlagers des Chaos Computer Clubs sowie während des vorsilvesterlichen Kongresses.

So wurden etwa im Laufe des 21C3 rund 18.000 Websites verändert, was sogar das LKA auf den Plan rief und Diskussionen über die Hackerethik ausgelöst hat. Administratoren sollten während solcher Veranstaltungen des Öfteren ihre Webseiten daraufhin kontrollieren, ob irgendwelche Spaßvögel ihren Schabernack getrieben haben. Offiziell beginnt das Camp am morgigen Mittwoch, den 8. August.

Aktuell sind drei Lücken in der Liste verzeichnet: eine SQL-Injection-Lücke in einem Online-Shop für Werkzeuge, worüber ein "Leet HaX0r tool" nebst Bild zur Liste der verfügbaren Werkzeuge hinzugefügt wurde. Zudem weisen die Webserver zweier kleinerer ISPs Directory-Traversing-Lücken auf, über die der unautorisierte Zugriff auf Dateien möglich ist, etwa /etc/passwd.

Quelle : www.heise.de

[SiLæncer]

Am 30.12.2009 wurde zwischen 0 und 4 Uhr vom 26. Chaos Communication Congress (26C3) in Berlin das Online-Shop-System von 3DSupply angegriffen. Die Hacker konnten eine SQL-Schwachstelle ausnutzen und auf Teile der Datenbank zugreifen.

Die Betreiber des Shops haben die Kunden in Form von einer verschickten E-Mail auf diesen Sachverhalt am gestrigen Freitag aufmerksam gemacht. Marius Laabs vom 3Dsupply Versandhandel teilte mit, dass man den Angriff genau nachvollziehen konnte.

Laut Laabs konnten die Hacker Benutzernamen und die E-Mail-Adressen der Kunden abfragen. Andere Datensätze wurden von den Angreifern angeblich nicht abgerufen.

Vermutlich handelte es sich hierbei um eine "Proof of Concept"-Attacke, bei der die Hacker lediglich auf eine bestehende Sicherheitslücke aufmerksam machen wollen.

In der verschickten E-Mail an die Kunden heißt es, dass sich die Hacker in den Adminbereich des Shops einloggen konnten und dort ein Scherzprodukt (T-Shirt: "I hacked 3dsupply and all I got was this lousy shirt") bestellt haben.

Vorsorglich haben die Betreiber alle Kundenprofile gelöscht, die Schwachstelle beseitigt und den Login für den Admin-Bereich geändert.

Quelle : http://winfuture.de

[SiLæncer]

Die Datenbankserver MySQL und MariaDB akzeptieren in bestimmten Konfigurationen jedes Passwort – wenn man es nur lange genug probiert. Die Erfolgswahrscheinlichkeit liegt bei 1 aus 256, wie der MariaDB-Sicherheitskoordinator Sergei Golubchik auf der Mailingliste oss-sec bekanntgegeben hat.

Da mehrere hundert Versuche pro Sekunde möglich sind, kann ein Angreifer innerhalb kürzester Zeit die Kontrolle über verwundbare Installationen übernehmen. Er muss zwar einen gültigen Benutzernamen kennen, die Wahrscheinlichkeit, dass ein "root" existiert, ist jedoch hoch.

Die Datenbankserver vergleicht bei der Anmeldung den gespeicherten Hash-Wert mit dem des gerade eingegebenen Passworts. Durch eine implizite Typumwandlung von einem vorzeichenbehafteten Character in einen Integer kann das ergeben, dass die Werte gleich wären – selbst wenn memcmp() einen Wert ungleich 0 zurück liefert. Dies tritt auf, wenn der Rückgabewert außerhalb des Intervalls zwischen -128 und 127 liegt.

Laut Golubchik sind theoretisch alle MySQL- und MariaDB-Versionen bis einschließlich 5.1.61, 5.2.11, 5.3.5 und 5.5.22 verwundbar – allerdings nur, wenn sie mit bestimmten Optionen kompiliert wurden; etwa mit der SSE-optimierte memcmp-Funktion der glibc. Nach bisherigem Kenntnisstand sind die von den Herstellern angebotenen Binaries nicht verwundbar. Ob die mit Distributionen ausgelieferten Versionen betroffen sind, ist noch unklar.

Wer testen möchte, ob die eigene Installation verwundbar ist, kann dazu den folgenden Einzeiler nutzen:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

Meldet sich daraufhin die Kommandozeile des Datenbankservers (etwa mit mysql>), sollte man schleunigst handeln. Abhilfe schafft ein Update auf die MySQL-Versionen 5.1.62, 5.2.12, 5.3.6 und 5.5.23 respektive MariaDB 5.1.63, 5.5.24 und 5.6.6. In dem oben verlinkten Advisory findet man zudem die passenden Patches. Nach dem Update prüfen die Datenbankserver den von memcmp() zurückgelieferten Wert zusätzlich durch eine Funktion test().

Quelle : www.heise.de