Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenbank: Lange bekannte MySQL-Lücke…

Auf solche Probleme muss man als Admin erstmal kommen

  1. Thema

Neues Thema Ansicht wechseln


  1. Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 13:59

    Ich denke viele Admins haben sich gedacht : Adminer speichert die Login-Daten nicht und erlaubt keinen Zugriff auf den Webspace. Also kann auch nichts passieren, wenn ich es so zugänglich lasse.

    Natürlich könnte jemand Rechenzeit für seine eigenen Projekte abzwacken. Aber ich kann auch verstehen, dass viele Admins solche Probleme nicht haben kommen sehen.

  2. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 14:41

    Naja - sollte man nicht eigentlich von einem Admin erwarten, dass er wenn Dienste neu aufgesetzt werden sich mal kurz mit der Materie beschäftigt ?

    Seit Jahren wird empfohlen ein "secure_file_priv" bei MySQL zu setzen was die ganze Sache wohl zumindest entschärft.

  3. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 14:55

    rugel schrieb:
    --------------------------------------------------------------------------------
    > Naja - sollte man nicht eigentlich von einem Admin erwarten, dass er wenn
    > Dienste neu aufgesetzt werden sich mal kurz mit der Materie beschäftigt ?

    Und in welcher Doku steht die im Artikel genannte Angriffsmöglichkeit beschrieben? Du kennst vermutlich das komplette Mysql Handbuch/Doku auswendig und die komplette Adminer Doku?

    > Seit Jahren wird empfohlen ein "secure_file_priv" bei MySQL zu setzen was
    > die ganze Sache wohl zumindest entschärft.

    Ich gehe mal davon aus das die per default gesetzt ist, wenn es eine Empfehlung ist. Wenn nicht ist da schon das Problem.

  4. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 15:12

    Tjoa aber:

    https://dev.mysql.com/doc/refman/5.7/en/security-options.html

    Und dann das Übliche - Lesen, verstehen, nachdenken, Optionen setzen.

    Ich weiß, in der heutigen Devops Welt ist es natürlich einfacher einen Docker Container hochzuziehen, funktioniert ja und ist schön einfach.
    Bis natürlich der ganze Mist abraucht oder die Kunden-Datenbank bei irgendwelchen Leaks auftaucht. Kann natürlich immer passieren, 100% Sicherheit wird es nie geben, aber sich ein wenig mit den Dingen beschäftigen die man produktiv einsetzt sollte man - glaube ich - erwarten können.
    Ich weiß, sowas bezahlt wieder keiner, will keiner wissen, das Projekt soll ja nur schnell fertig werden.



    1 mal bearbeitet, zuletzt am 27.01.19 15:15 durch rugel.

  5. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: elgooG 27.01.19 - 15:26

    Eben, sich nur darauf zu verlassen, dass alles richtig eingestellt ist sobald die Installation durch ist und, an eine Verbindung aufbauen kann, kann schnell gefährlich sein. DevOps heißt sich nicht, dass ich statt Entwickler und Admin nur mehr den Entwickler bezahlen muss.

    Viele Systeme sind nicht automatisch sicher konfiguriert. Wenn alles sofort an wäre könnte man sich vor Supportanfragen nicht mehr retten.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  6. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 15:33

    Naja von der Beschreibung was die Option tut hin zu dem im Artikel genannten Angriffsvektor ist es ein ziemlich weiter Weg. Aber ich wette ihr habt die Verbindung sofort hergestellt und den Bug schon erkannt bevor es die Entwickler von Adminer getan haben. Richtig?



    1 mal bearbeitet, zuletzt am 27.01.19 15:34 durch RichardEb.

  7. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: rugel 27.01.19 - 15:47

    Die Option sagt doch explizit wozu sie da ist. Dann kurz nachdenken ob es eine gute Idee ist einem DB User zu erlauben von irgendwo aus dem Dateisystem / von irgendwo her Daten direkt in der DB zu parsen und die Sache hat sich.
    Damit haben sich dann Angriffsvektoren wie in dem Artikel vielleicht nicht in Luft aufgelöst, aber die Situation ist deutlich entspannter.
    Sprich, das Problem mag noch vorhanden sein, allein die Ausnutzung wird erschwert / unmöglich gemacht und man hat die Zeit entsprechend zu überlegen was wie wann zu tun ist, ohne jetzt panisch loszulegen und sich nebenbei irgendwo etwas anderes zu zerlegen.

    Dazu gehört z. Bsp. auch kurz nachzudenken ob es wirklich sinnvoll ist, was leider viel zu oft der Fall ist, einen DB User für eine 08/15 Applikation wirklich mit "GRANT ALL PRIVILEGES" anzulegen, obwohl ein "SELECT, INSERT, UPDATE, DELETE" reicht.



    1 mal bearbeitet, zuletzt am 27.01.19 15:57 durch rugel.

  8. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 27.01.19 - 16:00

    Ich hab mir die Beschreibung noch mal in Ruhe durchgelesen. Ich glaube sogar ihr "Experten" liegt daneben. Das scheint ausschließlich eine Server Konfiguration zu sein. Laut Artikel geht es bei diesem Angriff um einen der einen präparierten SQL Server voraussetzt. In diesem Fall bringt die Option gar nichts. Wie ihr gerade selbst bewiesen habt: So einfach ist das wohl alles doch nicht.

  9. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: waldschote 27.01.19 - 17:15

    Natürlich ist es nicht die Aufgabe eines Admin alle möglichen Sicherheitslücken in einer Software zu finden. Dafür hat der Admin auch gar keine Zeit. Das ist ein Aufgabenfeld mit dem man sich Vollzeit beschäftigen kann und auch Menschen gibt, die genau dies machen.

    Aber mit der Thematik Sicherheit muss man sich als Admin schon auseinander Setzen. Neben dem was rugel geschrieben hat, sollte man sich vor allem erst einmal überlegen ob es überhaupt eine gute Idee ist ein DB Frontend einfach so im Direktzugriff offen zu legen. Da könnte man schon auf die Idee kommen wenigstens eine Authentifizierung vor zu schalten.

    Generell sind Administrative Anwendungen gesondert zu sichern. Da sie immer einen tieferen Zugriff erlauben als normale Anwendersoftware.

    Das ganze Problem hätte man alleine dadurch verhindern können zu unterbinden dass man beim Frontend einen fremden Server eintragen kann. Das sollte niemals überhaupt möglich sein.

  10. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: Iruwen 27.01.19 - 22:28

    Ist in Adminer auch relativ einfach.
    https://github.com/vrana/adminer/blob/master/plugins/login-servers.php

  11. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: RichardEb 28.01.19 - 05:17

    waldschote schrieb:
    --------------------------------------------------------------------------------
    >
    > Aber mit der Thematik Sicherheit muss man sich als Admin schon auseinander
    > Setzen. Neben dem was rugel geschrieben hat,

    Wie bereits erwähnt: Das was rugel geschrieben hat ist sogar falsch.
    1.) Kann man von der Beschreibung der genannten Option nicht auf dieses konkrete Problem schließen
    2.) Hat die genannte Option in diesem konkreten Fall gar keinen Effekt.

    Aber es macht zumindest deutlich, dass die Sache nicht so einfach ist, wie ihr es gerne darstellt. Die Option hätte euch nämlich nicht geschützt und ihr hätte die Sicherheitslücke bei euch auch gehabt.

    > sollte man sich vor allem erst
    > einmal überlegen ob es überhaupt eine gute Idee ist ein DB Frontend einfach
    > so im Direktzugriff offen zu legen. Da könnte man schon auf die Idee kommen
    > wenigstens eine Authentifizierung vor zu schalten.
    Ich kann schon nachvollziehen, dass ein Admin sich eine doppelte Passworteingabe sparen möchte. Adminer speichert die Login-Daten nicht und kann eigentlich auch nicht auf den Host schreiben. Ja mit extra htaccess wäre es natürlich sicherer. Andersrum gibt es aber auch sehr wenig Seiten, die den Admin-Bereich zum Beispiel von Joomla nochmal durch eine extra htaccess Datei absichern.

    >
    > Das ganze Problem hätte man alleine dadurch verhindern können zu
    > unterbinden dass man beim Frontend einen fremden Server eintragen kann. Das
    > sollte niemals überhaupt möglich sein.
    So funktioniert Adminer aber...

  12. Re: Auf solche Probleme muss man als Admin erstmal kommen

    Autor: zilti 28.01.19 - 12:01

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > So funktioniert Adminer aber...

    Das darf es auch, aber dann ist es halt scheisse.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ITC ENGINEERING GMBH & CO. KG, Stuttgart
  2. Zech Management GmbH, Bremen
  3. ERGO Group AG, Düsseldorf
  4. InfraServ GmbH & Co. Gendorf KG, Burgkirchen an der Alz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 999€ (Vergleichspreis 1.111€)
  2. 88€
  3. 579€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
2FA mit TOTP-Standard
GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel


    Digitaler Knoten 4.0: Auto und Ampel im Austausch
    Digitaler Knoten 4.0
    Auto und Ampel im Austausch

    Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
    Ein Bericht von Werner Pluta

    1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
    2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
    3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
      Videostreaming
      Netflix und Amazon Prime Video locken mehr Kunden

      Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

    2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
      Huawei
      Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

      Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

    3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
      TV-Serie
      Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

      Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


    1. 12:24

    2. 12:09

    3. 11:54

    4. 11:33

    5. 14:32

    6. 12:00

    7. 11:30

    8. 11:00