Ein bereits einschlägig bekannter Hacker mit dem Spitznamen KingCope hat am ersten Advent mehrere Exploits ins Netz gestellt, die unter anderem ungestopfte Lücken aus dem Jahr 2011 ausnutzen. Angriffsziele sind die kostenlose Oracle-Datenbank
MySQL für Windows und Linux sowie die beiden Server
SSH und
FreeSSHd/FreeFTPd.
Über fünf Sicherheitslücken können Angreifer, die über einen Zugang zur Datenbank verfügen, ihre Rechter erhöhen (Privilege Escalation Exploits) und dann Code einschleusen und ausführen. Es ist darüber auch möglich, einen Shell-Zugang mit administrativen Rechten zu öffnen. Drei der Lücken betreffen Windows-Systeme und sind bei seclists.org unter den Titeln
MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot) und
MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day beschrieben. Die drei anderen Sicherheitslücken treten unter Linux auf, die Exploits sind in den Artikeln
MySQL (Linux) Stack based buffer overrun PoC Zeroday,
MySQL (Linux) Heap Based Overrun PoC Zeroday und
MySQL (Linux) Database Privilege Elevation Zeroday Exploit verfügbar.
Eine weitere Sicherheitslücken nutzt einen Fehler aus, über die Angreifer das Datenbanksystem
zum Absturz bringen können, über eine andere lassen sich die
Benutzernamen auslesen.
Daneben veröffentlichte der Hacker zwei Sicherheitslücken, die einen SSH-Zugang mit beliebigem Passwort ermöglichen. Betroffen sind die Server
SSHs Tectia und
FreeSSHd/FreeFTPd. Angreifer können in beiden Fällen durch unterschiedliche Methoden die Prüfung des Passworts umgehen und sich mit einem beliebigen anderen einloggen.
So schützen Sie sichInzwischen haben die
Entwickler von MariaDB, einem kompatiblen Ersatz für MySQL, mehrere der Lücken bestätigt und die Updates 5.5.28a, 5.3.11, 5.2.13 and 5.1.66 herausgeben, in denen die Fehler beseitigt sind.
Administratoren von MySQL sollten dringend den Zugriff auf die Datenbank erschweren und nur über extra verschlüsselte Verbindungen zulassen. Laut dem Sicherheitsexperten
Sergei Golubchik können Dateioperationen auf ein Verzeichnis über die Serveroption --secure-file-priv beschränkt werden.
Oracle hat sich noch nicht zu den Sicherheitslücken in MySQL geäußert, sodass unklar ist, wann das Unternehmen Sicherheitsupdates bereitgestellt.