Originalartikel von Pavithra Hanchagaiah, Senior Security Researcher

Während der letzten Monate ist MySQL von einer ganzen Reihe von Zero-Day-Exploits buchstäblich überflutet worden. Kingcope hat diese Exploits aufgezeigt und Machbarkeitsbeweise für alle die Sicherheitslücken erbracht.

Die neu entdeckten Exploits greifen MySQL auf verschiedene Weise an, so etwa über Anwendungs-Crash/Denial-of-Service, Anheben von Berechtigungen, Umgehen der Authentifizierung, Remote Root auf Windows-Systemen und Heap/Stack-Overrun. Der Anbieter hat die Sicherheitslücken bestätigt und sie mit CVE-IDs versehen: CVE-2012-5611, CVE-2012-5612, CVE-2012-5613, CVE-2012-5614 sowie CVE-2012-5615.

Zwei der kritischen Sicherheitsprobleme, ExploitDB: 23073 & 23083, erlauben remote authentifizierten Angreifern, auf die Shell eines Windows-Systems zuzugreifen, indem sie speziell aufgesetzte Anfragen senden.

Nachfolgend die weiteren kritischen Probleme:

•  (CVE-2012-5611). Diese Sicherheitslücke wird angesprochen, indem ein zu langes Argument an den Befehl GRANT FILE geschickt wird, der dann zu einem Stack Buffer Overflow führt. Damit können Angreifer aus der Ferne Zufallscode ausführen oder einen Datenbank-Crash herbeiführen. Um diese Lücke auszunützen, bedarf es jedoch eines gültigen Benutzernamens und Kennworts.
• (CVE-2012-5612). Dies ist eine Heap Buffer Overflow-Lücke, die von einer Reihe von zusammengestellten Befehlen wie USE, SHOW TABLES, DESCRIBE, CREATE TABLE, DROP TABLE, ALTER TABLE, DELETE FROM, UPDATE, SET PASSWORD usw. erzeugt wird. Wird die Lücke missbraucht, so können Angreifer, die sich remote authentifizieren, mit nur geringen Privilegien das aktuelle Kennwort eines Nutzers auf einen undefinierten Wert setzen.
• (CVE-2012-5614). Diese Lücke führt zu einem Service-Crash über den Befehl SELECT mit einem UpdateXMLKommando, das XML mit einer großen Zahl von einzigartigen, verschachtelten Elementen enthält. Ein solcher Angriff bedarf ebenfalls der Authentifizierung mit einem gültigen Benutzernamen und Kennwort.
• (CVE-2012-5614). Diese Aufzählungs-Lücke erlaubt es entfernten Angreifern, basierend auf den generierten Fehlermeldungen, alle gültigen Nutzernamen zu sehen.
• (CVE-2012-5613). Die Lücke gilt nicht als Sicherheitsfehler, denn sie ist das Ergebnis einer Fehlkonfiguration. Dennoch können darüber remote authentifizierte Angreifer Admin-Berechtigungen erlangen. Ein Angreifer mit ‘FILE’-Berechtigung aber kann einen neuen Nutzer erzeugen, der vollständigen Zugriff ähnlich dem MySQL-Admin hat.

Die MySQL-Datenbank ist für ihre hohe Performance, hohe Zuverlässigkeit und Benutzerfreundlichkeit bekannt. Sie läuft sowohl auf Windows- als auch auf Nicht-Windows-Plattformen wie Unix, Mac OS, Solaris, IBM AIX und anderen. Ihre Beliebtheit ist schnell gestiegen, und viele große Unternehmen wie Facebook, Google und Adobe setzen darauf. Das ist auch der Grund dafür, dass sie für Cyberkriminelle so interessant ist.

Anwender von Trend Micro Deep Security erhalten Hilfe für die Sicherheitsprobleme. Der Anbieter hat ein Update 12-032 mit einer Reihe von DPI-Regeln veröffentlicht. Anwender sollten dringend die folgenden DPI-Regeln aufspielen:

*Out-of-box Coverage – Diese Sicherheitslücken werden von den vorhandenen DPI-Regeln abgedeckt.

Trend Micros DPI-Regeln können die Nutzer gegen alle bislang bekannten Exploits schützen