banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits (HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122  XML
  [News]   (HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122 11/06/2012 17:16:56 (+0700) | #1 | 265049
[Avatar]
K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
[Profile] [PM]
Vào hôm thứ bảy (ngày 9/06) Sergei Golubchik đã gửi một thông báo về lỗi bảo mật cực kì nghiêm trọng mới được phát hiện của MySQL / MariaDB lên mailling-list OSS.

Lỗi bảo mật này (với định danh CVE-2012-2122) cho phép kẻ tấn công có thể đăng nhập vào hệ quản trị cơ sở dữ liệu MySQL/MariaDB với một tài khoản bất kỳ tồn tại trên hệ thống mà không cần biết mật khẩu cuả user đó.

Tuy nhiên, rất may mắn là lỗi này chỉ xuất hiện trên một số nền tảng nhất định với xác suất vào khoảng 1/256. Trong đó, các phiên bản MySQL/MariaDB được phân phối theo các Linux distro sau đã được xác nhận có lỗi này:


Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc )
OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc )
Fedora 16 64-bit ( via hexed )
Arch Linux (unspecified version)


Cũng theo Sergei, phiên bản binary chính thức được phân phối trên trang chủ của MySQL/MariaDB không bị ảnh hưởng bởi lỗi này. Tính đến thời điểm hiện tại, lỗi trên đã được khắc phục trong mã nguồn của MySQL và sẽ sớm có các bản vá cho từng distro.

Đề nghị từ phía HVA
1- Hãy kiểm tra lại MySQL/MariaDB của mình đang chạy. Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet. Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper)

2- Kiểm tra lại các bản vá bảo mật mới nhất của distro mà mình đang sử dụng. Hãy vá nhanh nhất ngay khi có thể.

Lời cuối: Đây là một lỗi bảo mật được HD Moore mô tả là "Bi kịch" và cực kì "Hài hước". Bản thân tôi khi nhìn xong PoC cũng đã phải phì cười. Còn bạn, nếu muốn hãy thử (và tự chịu trách nhiệm về hành vi của mình)

Code:
$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done


K4i - HVA News

Biên tập: nlfb
Sống là để không chết chứ không phải để trở thành anh hùng
[Up] [Print Copy]
  [News]   (HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122 12/06/2012 11:26:24 (+0700) | #2 | 265073
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Không nên:
- Không nên cho phép khởi tạo, truy xuất đến MySQL từ môi trường internet. Nếu "bí quá" thì mở ra 1 chút sau đó đóng lại. smilie
- Quyền hạn trong DB nên cần thiết lập lại cho đúng, đủ , không nên theo kiểu grant all.

Phiên bản bị ảnh hưỡng 5.5.23 (TESTED on Fedora 17)
[Up] [Print Copy]
  [News]   (HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122 12/06/2012 13:21:32 (+0700) | #3 | 265080
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

K4i wrote:

Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet.
 

Nếu database server có cả LAN và WAN IP, đừng quên đưa dòng sau vào `my.cnf`:
Code:
bind-address=lan.ip

K4i wrote:

Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper)
 

- Với root, luôn luôn chỉ cho phép login từ localhost
- Với các users khác, đừng bao giờ tạo user theo kiểu:
Code:
mysql> CREATE USER 'bob'@'%' IDENTIFIED BY 'your_pass';

mà nên dùng:
Code:
mysql> CREATE USER 'bob'@'ip' IDENTIFIED BY 'your_pass';

trong đó, "ip" là địa chỉ IP bạn cho phép login từ đó. Thường chỉ bao gồm: IP của web server, application server, VPN là đủ.
- Khi grant quyền, cũng không nên dùng `GRANT ALL PRIVILEGES ON *.*`, thay vào đó chỉ nên grant đủ quyền trên đúng database mà họ cần thao tác. Trong trường hợp ai đó cần `GRANT ALL` thì cũng nên `REVOKE SUPER` privilege.

PS: Confirmed. Ubuntu 11.10 64-bit, MySQL 5.1.62 dính chưởng. Trên CentOS, các bản MySQL cài từ official repo hoặc Remi, EPEL, Atomic, ... repo không thấy bị.
Let's build on a great foundation!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|