Altlasten führen zu kleiner Sicherheitslücke in MySQL

verfasst von:  Lars  am 17.Januar 2006

Dr. Oliver Heidbüchel meldete eine Sicherheitslücke, die wohl noch aus den Entwicklungstagen der Musterlösung herrührt.


So gibt es in MySQL, wo u.a. eine Datenbank für das Webmailinterface IMP verwendet wird, ungeschützte Benutzeraccounts. Ein Anwender von server.ppp.tu-darmstadt.de darf sich ohne Passwort an der Datenbank anmelden, was wohl noch auf einen Testzugang während der Entwicklung der Musterlösung zurückzuführen ist. Auch der für den Betrieb von IMP notwendige Datenbank-Account hat mehr Rechte als eigentlich nötig.


Bis ein offizieller Patch zur Verfügung steht kann aber ein einfacher Befehl erst einmal Abhilfe schaffen.

Melden Sie sich dazu als root am System an und öffnen Sie eine Konsole. Denken Sie sich ein sicheres Passwort aus, mit welchem Sie die den Account schützen werden. Aber merken Sie sich das Passwort, falls Sie den Accounts später doch einmal ändern möchten! Geben Sie anschließend den unten aufgeführen Befehl ein und ersetzen Sie <neuespasswort> durch ihr Passwort.</neuespasswort>

mysqladmin -u root -h server.ppp.tu-darmstadt.de password <neuespasswort></neuespasswort>

Hinweis 1: normalerweise kann sich jeder Nutzer mit Shellzugang zum Server am MySQL-Server anmelden. Ein normaler Nutzer kann allerdings nur test-Datenbanken anlegen bzw. verwalten und keine anderen Änderungen vornehmen.

Hinweis 2: Sie können das Passwort eines MySQL-Nutzers jederzeit durch den folgenden Befehl ändern:

echo "update user set Password=password('<neuespasswort>') where user='horde' | mysql -u root -p mysql</neuespasswort>
Hier wird z.B. das Passwort des Datenbank-Benutzers horde geändert. Sie werden nach der Eingabe der Zeile nach dem root Passwort gefragt.
PDF PDF  |  Druckerfreundliche Ansicht Drucken  |  Hits: 11291

Kommentare

Einen Kommentar hinzufügen



 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Lemma: Alle vernünftigen Betriebssysteme haben ein "X" im Namen.
Korollar: Aber kein "P" nach dem "X".

-- anonymous