Ads 468x60px

maanantai 11. kesäkuuta 2012

Vakava sisäänkirjautumisen ohitusmahdollisuus MySQL-tietokannassa

Kaikki MariaDB sekä MySQL-versiot 5.1.61, 5.2.11, 5.3.5, 5.5.22 sekä aikaisemmat, ovat haavoittuvaisia. Ohjelmointivirheen takia käyttäjän salasana hyväksytään 1/256 todennäköisyydellä ilman että se olisi oikein. Hyökkääjän tarvitsee tietää ainoastaan käytössä oleva käyttäjätunnus, esimerkiksi root.

MySQL on yleisesti käytetty avoimen lähdekoodin tietokantaohjelmisto, joka useimmiten toimii samassa lähiverkossa tai samalla palvelimella kuin web-sivut. Hyvien käytäntöjen mukaan suojatut MySQL-palvelimet eivät salli sisäänkirjautumisia internetistä päin, joka vähentää hyökkäysmahdollisuuksia merkittävästi. Toisinaan arkkitehtuureissa kuitenkin päädytään ratkaisuun, joissa MySQL-palvelin vastaanottaa kutsuja internetistä päin. Tällöin on syytä käyttää palvelinvarmenteita sekä rajoittaa kaikin keinoin IP-osoiteavaruutta, joista palvelimeen voidaan ottaa yhteyden.

Ongelma ei näytä koskevan kaikkia asennuksia, sillä itse en onnistunut toistamaan hyökkäystä testiympäristössä. Vaikuttaa siltä että käyttöjärjestelmän versiolla ja sen käyttämillä kirjastoilla on merkitystä. Tästä huolimatta haavoittuvuuden olemassaolo tarjoaa hyvän syyn käydä läpi tietokantapalvelimien asetukset siltä varalta, etteivät ne ole oletettua löysemmät.

Suosittelemme, että palvelimien asetuksista tarkastetaan ainakin seuraavat:
  1. Onko pääkäyttäjän salasana on vahva (ja se vaihdetaanko sitä säännöllisesti)?
  2. Onko pääkäyttäjän käyttäjätunnus henkilökohtainen vai yleiskäyttöinen?
  3. Onko sisäänkirjautuminen tietokantapalvelimelle estetty internetistä käsin (ellei se ole täysin välttämätöntä)?
  4. Koska tietokantapalvelimeen on viimeksi asennettu tietoturvapäivityksiä?
  5. Mistä tietokantapalvelimen lokitiedot löytyvät ja keräävätkö ne asianmukaisia lokitietoja?

Lähteet:
http://thehackernews.com/2012/06/cve-2012-2122-serious-mysql.html
http://tools.thehackernews.com/2012/06/cve-2012-2122-mysql-authentication.html
https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

Ei kommentteja:

Lähetä kommentti