Sicherheitslücke gut und schön. Aber wieso sollte IRGENDJEMAND bis auf den Admin Kommandozeilenzugang beim Datenbanksystem haben?
Wenn es soweit ist, ist eh alles zu spät?
Benutzer wird von Ihnen ignoriert. Anzeigen
Ich glaub du hast das Problem falsch verstanden. Die Meldung besagt, dass man sich mit simpelstem Bruteforcing Zugang auch zum MySQL-root-User holen kann. Das heißt, man hat komplette Kontrolle über den MySQL-Server, kann ALLE Daten lesen, verändern, löschen.
Edit: Falls du meintest, dass man eine Sitzung z.B. per SSH auf dem Server braucht... nicht immer. MySQL kann auch Verbindungen per TCP/IP akzeptieren, z.B. von außerhalb des Servers.
1 mal bearbeitet, zuletzt am 11.06.12 18:51 durch c3rl.
Benutzer wird von Ihnen ignoriert. Anzeigen
Wenn man es richtig absichert, sieht eine MySQL-Datenbank so aus:
- Verbindungen werden nur von dem Webserver akzeptiert
- Es gibt keinen SSH-Zugang von außerhalb ohne gesichertes VPN mit Token
Fertig.
Grüße vom Planeten Deviluke!
Benutzer wird von Ihnen ignoriert. Anzeigen
und dummerweise läuft auf dem Webserver ein CMS mit einem addon, welches es einem angreifer ermöglicht fremden code auszuführen und so die kontrolle über mysql zu erlangen.
Benutzer wird von Ihnen ignoriert. Anzeigen
Ack - was der Kollege Vorposter da vorschlägt ist nichts weiter als eine Instanz des Prinzips Security by Obscurity.
Benutzer wird von Ihnen ignoriert. Anzeigen
Das ist dann aber wieder keine Lücke in MySQL sondern im CMS. Wenn man SQL-Injection nicht vorbeugt ist man selber schuld.
Grüße vom Planeten Deviluke!
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 378 | letzter Beitrag 01:19 Uhr
Kommentare: 246 | letzter Beitrag 25.05. 22:25
Kommentare: 208 | letzter Beitrag 00:32 Uhr
Kommentare: 157 | letzter Beitrag 25.05. 14:39
Kommentare: 155 | letzter Beitrag 25.05. 19:27
E-Mail an news@golem.de
Ein Smartphone, das in einer halben Minute geladen ist, soll ein neuer Energiespeicher ermöglichen. Die Entwicklerin kam auf die Idee, weil sie sich über den dauernd leeren Akku ihres Mobiltelefons geärgert hat.
Tagsüber sammelt der Spieler Vorräte und Waffen, nachts kämpft er gegen Zombies: Das ist das Grundkonzept von Dying Light, das Techland unter anderem für Playstation 4 und Xbox One produziert.
Linuxtag 2013 Das Limux-Projekt geht in den Regelbetrieb über. Viel Arbeit fällt bei der Umstellung der Münchner Stadtverwaltung auf Linux trotzdem noch an - für die Techniker und die Stadtverwaltung, die eine Strategie für den Umgang mit Open-Source-Projekten erarbeiten muss.
Linuxtag 2013 Einige Hard- und Softwarehersteller betreiben enormen Aufwand, um Funktionen auf ihren Geräten einzuschränken. MIT-Forscher Benjamin Mako Hill bezeichnet diese als "Antifeatures" - und sieht freie Software als Möglichkeit, sie einzudämmen.
Nach dem Kauf von Tumblr bietet Yahoo jetzt auch für die Video-on-Demand-Plattform Hulu. Das Unternehmen ist rund 2 Milliarden US-Dollar wert.
Zwei Drittel der Weltbevölkerung sind noch offline. Google X setzt mit einem großen Projekt auf mobiles Internet über TV-Frequenzen, Satelliten und Ballons.