Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenbank: Lange bekannte MySQL-Lücke…

Auf solche Probleme muss man als Admin erstmal kommen

  1. Thema

Neues Thema Ansicht wechseln


  1. Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 13:59

    Ich denke viele Admins haben sich gedacht : Adminer speichert die Login-Daten nicht und erlaubt keinen Zugriff auf den Webspace. Also kann auch nichts passieren, wenn ich es so zugänglich lasse.

    Natürlich könnte jemand Rechenzeit für seine eigenen Projekte abzwacken. Aber ich kann auch verstehen, dass viele Admins solche Probleme nicht haben kommen sehen.

  2. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 14:41

    Naja - sollte man nicht eigentlich von einem Admin erwarten, dass er wenn Dienste neu aufgesetzt werden sich mal kurz mit der Materie beschäftigt ?

    Seit Jahren wird empfohlen ein "secure_file_priv" bei MySQL zu setzen was die ganze Sache wohl zumindest entschärft.

  3. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 14:55

    rugel schrieb:
    --------------------------------------------------------------------------------
    > Naja - sollte man nicht eigentlich von einem Admin erwarten, dass er wenn
    > Dienste neu aufgesetzt werden sich mal kurz mit der Materie beschäftigt ?

    Und in welcher Doku steht die im Artikel genannte Angriffsmöglichkeit beschrieben? Du kennst vermutlich das komplette Mysql Handbuch/Doku auswendig und die komplette Adminer Doku?

    > Seit Jahren wird empfohlen ein "secure_file_priv" bei MySQL zu setzen was
    > die ganze Sache wohl zumindest entschärft.

    Ich gehe mal davon aus das die per default gesetzt ist, wenn es eine Empfehlung ist. Wenn nicht ist da schon das Problem.

  4. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 15:12

    Tjoa aber:

    https://dev.mysql.com/doc/refman/5.7/en/security-options.html

    Und dann das Übliche - Lesen, verstehen, nachdenken, Optionen setzen.

    Ich weiß, in der heutigen Devops Welt ist es natürlich einfacher einen Docker Container hochzuziehen, funktioniert ja und ist schön einfach.
    Bis natürlich der ganze Mist abraucht oder die Kunden-Datenbank bei irgendwelchen Leaks auftaucht. Kann natürlich immer passieren, 100% Sicherheit wird es nie geben, aber sich ein wenig mit den Dingen beschäftigen die man produktiv einsetzt sollte man - glaube ich - erwarten können.
    Ich weiß, sowas bezahlt wieder keiner, will keiner wissen, das Projekt soll ja nur schnell fertig werden.



    1 mal bearbeitet, zuletzt am 27.01.19 15:15 durch rugel.

  5. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: elgooG 27.01.19 - 15:26

    Eben, sich nur darauf zu verlassen, dass alles richtig eingestellt ist sobald die Installation durch ist und, an eine Verbindung aufbauen kann, kann schnell gefährlich sein. DevOps heißt sich nicht, dass ich statt Entwickler und Admin nur mehr den Entwickler bezahlen muss.

    Viele Systeme sind nicht automatisch sicher konfiguriert. Wenn alles sofort an wäre könnte man sich vor Supportanfragen nicht mehr retten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  6. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 15:33

    Naja von der Beschreibung was die Option tut hin zu dem im Artikel genannten Angriffsvektor ist es ein ziemlich weiter Weg. Aber ich wette ihr habt die Verbindung sofort hergestellt und den Bug schon erkannt bevor es die Entwickler von Adminer getan haben. Richtig?



    1 mal bearbeitet, zuletzt am 27.01.19 15:34 durch RichardEb.

  7. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 15:47

    Die Option sagt doch explizit wozu sie da ist. Dann kurz nachdenken ob es eine gute Idee ist einem DB User zu erlauben von irgendwo aus dem Dateisystem / von irgendwo her Daten direkt in der DB zu parsen und die Sache hat sich.
    Damit haben sich dann Angriffsvektoren wie in dem Artikel vielleicht nicht in Luft aufgelöst, aber die Situation ist deutlich entspannter.
    Sprich, das Problem mag noch vorhanden sein, allein die Ausnutzung wird erschwert / unmöglich gemacht und man hat die Zeit entsprechend zu überlegen was wie wann zu tun ist, ohne jetzt panisch loszulegen und sich nebenbei irgendwo etwas anderes zu zerlegen.

    Dazu gehört z. Bsp. auch kurz nachzudenken ob es wirklich sinnvoll ist, was leider viel zu oft der Fall ist, einen DB User für eine 08/15 Applikation wirklich mit "GRANT ALL PRIVILEGES" anzulegen, obwohl ein "SELECT, INSERT, UPDATE, DELETE" reicht.



    1 mal bearbeitet, zuletzt am 27.01.19 15:57 durch rugel.

  8. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 16:00

    Ich hab mir die Beschreibung noch mal in Ruhe durchgelesen. Ich glaube sogar ihr "Experten" liegt daneben. Das scheint ausschließlich eine Server Konfiguration zu sein. Laut Artikel geht es bei diesem Angriff um einen der einen präparierten SQL Server voraussetzt. In diesem Fall bringt die Option gar nichts. Wie ihr gerade selbst bewiesen habt: So einfach ist das wohl alles doch nicht.

  9. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: waldschote 27.01.19 - 17:15

    Natürlich ist es nicht die Aufgabe eines Admin alle möglichen Sicherheitslücken in einer Software zu finden. Dafür hat der Admin auch gar keine Zeit. Das ist ein Aufgabenfeld mit dem man sich Vollzeit beschäftigen kann und auch Menschen gibt, die genau dies machen.

    Aber mit der Thematik Sicherheit muss man sich als Admin schon auseinander Setzen. Neben dem was rugel geschrieben hat, sollte man sich vor allem erst einmal überlegen ob es überhaupt eine gute Idee ist ein DB Frontend einfach so im Direktzugriff offen zu legen. Da könnte man schon auf die Idee kommen wenigstens eine Authentifizierung vor zu schalten.

    Generell sind Administrative Anwendungen gesondert zu sichern. Da sie immer einen tieferen Zugriff erlauben als normale Anwendersoftware.

    Das ganze Problem hätte man alleine dadurch verhindern können zu unterbinden dass man beim Frontend einen fremden Server eintragen kann. Das sollte niemals überhaupt möglich sein.

  10. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: Iruwen 27.01.19 - 22:28

    Ist in Adminer auch relativ einfach.
    https://github.com/vrana/adminer/blob/master/plugins/login-servers.php

  11. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 28.01.19 - 05:17

    waldschote schrieb:
    --------------------------------------------------------------------------------
    >
    > Aber mit der Thematik Sicherheit muss man sich als Admin schon auseinander
    > Setzen. Neben dem was rugel geschrieben hat,

    Wie bereits erwähnt: Das was rugel geschrieben hat ist sogar falsch.
    1.) Kann man von der Beschreibung der genannten Option nicht auf dieses konkrete Problem schließen
    2.) Hat die genannte Option in diesem konkreten Fall gar keinen Effekt.

    Aber es macht zumindest deutlich, dass die Sache nicht so einfach ist, wie ihr es gerne darstellt. Die Option hätte euch nämlich nicht geschützt und ihr hätte die Sicherheitslücke bei euch auch gehabt.

    > sollte man sich vor allem erst
    > einmal überlegen ob es überhaupt eine gute Idee ist ein DB Frontend einfach
    > so im Direktzugriff offen zu legen. Da könnte man schon auf die Idee kommen
    > wenigstens eine Authentifizierung vor zu schalten.
    Ich kann schon nachvollziehen, dass ein Admin sich eine doppelte Passworteingabe sparen möchte. Adminer speichert die Login-Daten nicht und kann eigentlich auch nicht auf den Host schreiben. Ja mit extra htaccess wäre es natürlich sicherer. Andersrum gibt es aber auch sehr wenig Seiten, die den Admin-Bereich zum Beispiel von Joomla nochmal durch eine extra htaccess Datei absichern.

    >
    > Das ganze Problem hätte man alleine dadurch verhindern können zu
    > unterbinden dass man beim Frontend einen fremden Server eintragen kann. Das
    > sollte niemals überhaupt möglich sein.
    So funktioniert Adminer aber...

  12. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: zilti 28.01.19 - 12:01

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > So funktioniert Adminer aber...

    Das darf es auch, aber dann ist es halt scheisse.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MailStore Software GmbH, Viersen
  2. DKS Dienstleistungsgesellschaft für Kommunikationsanlagen des Stadt- und Regionalverkehrs mbH, Köln
  3. Northern Lights, Flensburg, Erfurt, Berlin
  4. Löwenstein Medical GmbH & Co. KG, Bad Ems

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 45,95€
  2. 39,95€
  3. 5,99€
  4. 28,49€ (erscheint am 15.02.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Begriffe, Architekturen, Produkte: Große Datenmengen in Echtzeit analysieren
    Begriffe, Architekturen, Produkte
    Große Datenmengen in Echtzeit analysieren

    Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
    Von George Anadiotis


      1. Grundschule: Telekom berechnet 80.000 Euro für 200 Meter Glasfaser
        Grundschule
        Telekom berechnet 80.000 Euro für 200 Meter Glasfaser

        Schulen ans Netz ist nicht ganz billig. Das merkte die Gemeinde Wiesenthau in Bayern. Außer der Telekom machte keiner ein Angebot für die FTTH-Versorgung.

      2. Sicherheitsforscher: "Ich habe ganz Österreich gescannt"
        Sicherheitsforscher
        "Ich habe ganz Österreich gescannt"

        Was findet man eigentlich alles, wenn man den IP-Adressraum eines Landes scannt? Der Sicherheitsforscher Christian Haschek konnte viele Webserver, veraltete Software und ein paar Skurrilitäten entdecken.

      3. Apple: Kommt ein 16 Zoll großes Macbook Pro?
        Apple
        Kommt ein 16 Zoll großes Macbook Pro?

        Apple soll für 2019 eine Überarbeitung seiner Hardwareangebote planen und das anfällige Macbook-Pro-Design schon wieder verabschieden. Ein neues Modell mit 16 Zoll großem Bildschirm und ein 32 Zoll großes 6K-Display sollen folgen.


      1. 16:15

      2. 16:00

      3. 15:24

      4. 14:35

      5. 14:17

      6. 13:53

      7. 13:38

      8. 13:23