MySQL Sicherheitslücke - Sind wir Synology User auch gefährdet?

DKeppi · 12. Jun 2012

Hallo Leute,

habe grad diesen Artikel über golem.de gefunden -> http://www.heise.de/newsticker/meldung/MySQL-Datenbank-Zugang-auch-ohne-Passwort-1614987.html

Meine SQL Version ist 5.1.49 also sollte da der Fehler leider auch auftreten

Meine Frage nun, wie testen wir ob wir betroffen sind bzw. betrifft uns das wirklich?

Anzeige · 12. Jun 2012

Hallo DKeppi,

Bücher und Hardware zum Thema gibt es bei Amazon: MySQL Sicherheitslücke - Sind wir Synology User auch gefährdet?

goetz · 12. Jun 2012

Hallo,
wenn kein mysql Zugriff von außen (auch über Webseiten, phpMyAdmin usw) nicht möglich ist, dann spielt das eigentlich keine Rolle. Der Fehler tritt ja auch nur auf wenn spezielle Funktionen beim compilieren aktiviert wurden, Syno baut die binaries mit recht alten libs und mit recht wenig Optionen.
Der angegebene Fehlertest läßt meine DS, auch nach mehrmaliger Ausführung (>10), völlig kalt.

Gruß Götz

DKeppi · 12. Jun 2012

Naja mit der dyndns und dem Zusatz /phpMyAdmin kommt man ja auf die Loginseite von phpMyAdmin deshalb meine Frage.

Den angegebenen Fehlertest hätte ich probiert nur weis ich nicht wo und wie ich den richtig angeben muss.
So wie er dasteht klappts im putty ja nicht - auch nicht in einem Skript!

Wie hast du das gemacht!?

goetz · 12. Jun 2012

Hallo,

Rich (BBCode):

DS411plusII> for i in `seq 1 1000`; do /usr/syno/mysql/bin/mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

so etwas wie PMA sollte nicht von außen erreichbar sein, per .htaccess auf interne IPs absichern.

Gruß Götz

DKeppi · 12. Jun 2012

Also nur das $ weg ok...ich Depp

Juckt meine DS übrigens auch nicht im Geringsten...

Mhm...ist aber standardmäßig so und hab ich seit über 14 Monaten...
Ich sag mal wenn wer PMA knackt dann auch DSM über Port 5001 - das musst aber erst mal wollen und schaffen!

Mein Passwort ist doch sehr sicher...

amarthius · 12. Jun 2012

DKeppi schrieb:
Mein Passwort ist doch sehr sicher...

Schick mal PN, will meines auch so sicher machen

Hab mal den Support genötigt, mal sehen was sie sagen. Wollte eh noch was anderes wissen.

DKeppi · 12. Jun 2012

der war gut!
Aber im ernst, wer interessiert sich für mich und will ein 13stelliges Passwort mit Groß-/Kleinschreibung und Sonderzeichen deswegen knacken?
KEINER!

Was hast du den Support gefragt?

jahlives · 12. Jun 2012

wenn dann sind wohl schlimmstenfalls Boxen mit Intel Prozi betroffen. Unter dem Link wird ja explizit SSE erwähnt und das ist etwas Intel resp x86 spezifisches

DKeppi · 12. Jun 2012

Ist meine 712+ ja...aber wie gesagt der Fehlertest juckt sie gar nicht - alles sicher!

itari · 12. Jun 2012

http://www.phpmyadmin.net/documentation/#faq4_6

Itari

DKeppi · 12. Jun 2012

Danke itari!

amarthius · 15. Jun 2012

Die Antwort von Synology auf meine Frage, ob die Systeme betroffen sind:

Thank you for your feedback.

Unfortunately, DS will be defected so that we are working on a patch and it will be released soon.

Apologies for your inconvenience.

Suche

MySQL Sicherheitslücke - Sind wir Synology User auch gefährdet?

DKeppi

Benutzer

Anzeige

goetz

Super-Moderator

DKeppi

Benutzer

goetz

Super-Moderator

DKeppi

Benutzer

amarthius

Super-Moderator

DKeppi

Benutzer

jahlives

Benutzer

DKeppi

Benutzer

itari

Benutzer

DKeppi

Benutzer

amarthius

Super-Moderator

Kaffeautomat