Eine schwere Schwachstelle gefährdet derzeit Installationen der Datenbank MySQL, denn sie erlauben die Übernahme des Datenbankservers durch das Einschleusen von Malware. Das vom Sicherheitsforscher Dawid Golunski entdeckte Leck ist mittlerweile bekannt, aber noch nicht von allen Anbietern gepatcht worden.

Nach eigenen Angaben meldete Golunski das Problem am 29. Juli an verschiedene Anbieter der Datenbanksoftware. Seitens MariaDB und PerconaDB wurde der Fehler Ende August schließlich behoben. Einer der bedeutendsten Anbieter, Oracle, ist bislang jedoch säumig.

Zwei Fehler

Dem Bedrohungsszenario liegen zwei Fehler zugrunde. Einer erlaubt Angreifern, lokal und aus der Ferne die Einstellungen der Datenbank zu ändern, die sich in der Datei my.conf befinden. Möglich ist dies entweder, in dem Datenverkehr als Anweisungen der Administrationssoftware PHPMyadmin getarnt werden oder Code mittels SQL-Injection eingeschleust wird. Dies trifft allerdings nur zu, wenn die Datenbank mit den vorkonfigurierten Einstellungen läuft.

Der zweite Fehler erlaubt lokalen Zugriff auf my.conf und ebenfalls das Einbringen von Schadcode, der mit einem vollständigen Rechteset (Root) ausgeführt wird, wie Golem zusammenfasst.

Warten auf den Patch

Weil die Lücke noch nicht geschlossen ist, hat Galunski auch noch keinen Proof-of-Concept vorgelegt. Unklar ist, wann nun Oracle zur Behebung schreitet. Der nächste geplante Patchday ist Ende Oktober angesetzt.

Nutzer können sich derweil schützen, in dem sie mysql_user Besitzrechte über MySQL-Konfigurationsdateien verwehren. Galunski rät auch, eine nicht verwendete Dummy-Version von my.conf anzulegen, die über Root-Rechte verfügt. (red, 13.09.2016)