BACKRONYM: SSL-Schwachstelle in MySQL-Clients

Sichere Verbindungen eines MySQL-Clients zum Datenbankserver lassen sich so manipulieren, dass die Datenbankanfragen im Klartext übertragen werden.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
BACKRONYM: SSL-Schwachstelle in MySQL

(Bild: Duo Labs)

Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Angreifer, die es schaffen, sich in eine Verbindung zwischen einem MySQL-Client und einem Datenbankserver einzuklinken, können die SSL/TLS-Verschlüsselung dieser Verbindung ausschalten. Dieses Verhalten ist seit Jahren bekannt und soll bald mit einer sich gerade in der Entwicklung befindlichen Version des MySQL-Servers aus der Welt geschafft werden. Trotzdem erhält die Lücke gerade neue Aufmerksamkeit, da einer Sicherheitsfirma sie unter dem Namen BACKRONYM neu gebranded hat.

Die an den Haaren herbeigezogene Abkürzung steht für "Bad Authentication Causes Kritical Risk Over Networks, Yikes MySQL". Dem neuen Namen liegt ein altes Problem zugrunde: Verbindet sich ein Client mithilfe der Option -ssl mit einem Server, teilt er damit lediglich mit, dass eine SSL-Verbindung erwünscht ist – diese wird aber nicht garantiert. Ein Man-in-the-Middle kann die Verbindung trotzdem so manipulieren, dass sie über einen unsicheren Kanal stattfindet. Das könnte theoretisch auch aus dem öffentlichen Netz ausgenutzt werden. Vor allem dann, wenn der Zugriff auf den Datenbankserver über eine DNS-Anfrage zustande kommt, die ein gut ausgestatteter Angreifer – etwa ein großer Geheimdienst – abfangen und sich in die Verbindung einklinken könnte.

Bei der Schwachstelle handelt es sich um einen Designproblem mit allen MySQL-Clients bis einschließlich Version 5.7.2, die grundsätzlich keine Möglichkeit haben, TLS-Verbindung vorauszusetzen. Darauf basierende Software wie MariaDB soll die Schwachstelle ebenfalls enthalten. Die gerade im Status des Release Candidate befindliche MySQL-Version 5.7.3 ändert das Verhalten der Software entsprechend, so dass die Lücke gestopft wird. Alternativ können Verbindungen mit x509-Zertifikaten oder über SSH-Tunnel abgesichert werden. (fab)