MySQL-Site angeblich gehackt – via SQL Injection
Ausgerechnet der Hersteller einer der populärsten Open-Source-Datenbanken hatte anscheinend eine schwerwiegende Sicherheitslücke im Datenbankfrontend seiner Web-Seite.
Am Wochenende veröffentlichte ein Unbekannter auf einer Sicherheits-Mailingliste Details zu Struktur und Inhalten der Datenbanken der Website des Datenbank-Herstellers MySQL. An die Informationen gelangte er angeblich über eine Sicherheitslücke auf der Website MySQL.com.
Bei der Schwachstelle handelt es sich nach Angaben des Hackers um ein Blind-SQL-Injection-Problem. Das ist sozusagen der Super-GAU für Web-Server, da damit über eine öffentliche Web-Seite Zugriff auf deren kompletten Datenbestand möglich ist. SQL Injection ergibt sich, wenn man in Benutzereingaben SQL-Befehle so einbetten kann, dass sie der Web-Server danach an die Datenbank weiterleitet.
Von Blind SQL Injection spricht man, wenn das Resultat der Datenbank-Operation nicht angezeigt wird – der Angreifer also blind operieren muss. In solchen Fällen greifen Hacker oft zu dem Trick, Ja/Nein-Fragen an die Datenbank zu stellen und dafür zu sorgen, dass etwa ein Ja mit einer zeitaufwendigen Operation gekoppelt wird. Dann kann er an der Dauer, bis die Antwortseite erscheint, ablesen, wie die Antwort ausgefallen ist.
Die veröffentlichten Daten enthalten unter anderem auch Passwort-Hashes für Datenbank-Zugänge; zum Teil sind im Internet auch bereits die zugehörigen Klartext-Passwörter aufgetaucht. Eine Stellungnahme des seit einiger Zeit zu Oracle gehörenden Datenbank-Herstellers steht noch aus. (ju)
