1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: MySQL-Zugriff ohne…

Ohne Kommandozeilenzugang uninteresant?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ohne Kommandozeilenzugang uninteresant?

    Autor: JohnRanger 11.06.12 - 17:53

    Sicherheitslücke gut und schön. Aber wieso sollte IRGENDJEMAND bis auf den Admin Kommandozeilenzugang beim Datenbanksystem haben?

    Wenn es soweit ist, ist eh alles zu spät?

  2. Re: Ohne Kommandozeilenzugang uninteresant?

    Autor: c3rl 11.06.12 - 18:49

    Ich glaub du hast das Problem falsch verstanden. Die Meldung besagt, dass man sich mit simpelstem Bruteforcing Zugang auch zum MySQL-root-User holen kann. Das heißt, man hat komplette Kontrolle über den MySQL-Server, kann ALLE Daten lesen, verändern, löschen.

    Edit: Falls du meintest, dass man eine Sitzung z.B. per SSH auf dem Server braucht... nicht immer. MySQL kann auch Verbindungen per TCP/IP akzeptieren, z.B. von außerhalb des Servers.



    1 mal bearbeitet, zuletzt am 11.06.12 18:51 durch c3rl.

  3. Re: Ohne Kommandozeilenzugang uninteresant?

    Autor: Lala Satalin Deviluke 11.06.12 - 22:45

    Wenn man es richtig absichert, sieht eine MySQL-Datenbank so aus:

    - Verbindungen werden nur von dem Webserver akzeptiert
    - Es gibt keinen SSH-Zugang von außerhalb ohne gesichertes VPN mit Token

    Fertig.

    Grüße vom Planeten Deviluke!

  4. Re: Ohne Kommandozeilenzugang uninteresant?

    Autor: nicoledos 12.06.12 - 00:00

    und dummerweise läuft auf dem Webserver ein CMS mit einem addon, welches es einem angreifer ermöglicht fremden code auszuführen und so die kontrolle über mysql zu erlangen.

  5. Re: Ohne Kommandozeilenzugang uninteresant?

    Autor: .02 Cents 12.06.12 - 12:29

    Ack - was der Kollege Vorposter da vorschlägt ist nichts weiter als eine Instanz des Prinzips Security by Obscurity.

  6. Re: Ohne Kommandozeilenzugang uninteresant?

    Autor: Lala Satalin Deviluke 12.06.12 - 16:21

    Das ist dann aber wieder keine Lücke in MySQL sondern im CMS. Wenn man SQL-Injection nicht vorbeugt ist man selber schuld.

    Grüße vom Planeten Deviluke!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Analytic Company GmbH, Hamburg
  2. BARMER, Wuppertal
  3. Wirtgen GmbH, Windhagen
  4. Erzbistum Paderborn, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,50€
  2. 19,90€
  3. 19,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de