Смешная уязвимость в MySQL под Ubuntu 64-bit

в 8:17, , рубрики: glibc, mariadb, memcmp, mysql, информационная безопасность, любой пароль, Убунтариум, метки: , , , ,

В субботу координатор по безопасности проекта MariaDB Сергей Голубчик сообщил об интересной уязвимости в MySQL/MariaDB до версий 5.1.61, 5.2.11, 5.3.5, 5.5.22.

Суть в том, что при подключении пользователя MariaDB/MySQL вычисляется токен (SHA поверх пароля плюс хэш), который сравнивается с ожидаемым значением. При этом функция memcmp() должна возвращать значение в диапазоне -128..127, но на некоторых платформах (похоже, в glibc в Linux с оптимизацией под SSE) возвращаемое значение может выпадать из диапазона.

В итоге, в 1 случае из 256 процедура сравнения хэша с ожидаемым значением всегда возвращает значение true, независимо от хэша. Другими словами, система уязвима перед случайным паролем с вероятностью 1/256.

В итоге, простая команда на bash даёт злоумышленнику рутовый доступ к уязвимому серверу MySQL, даже если он не знает пароль.

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
mysql>

На данный момент наличие уязвимости подтверждено в следующих конфигурациях:

Ubuntu Linux 64-bit (10.04, 10.10, 11.04, 11.10, 12.04)
Debian Linux 64-bit (пока непонятно, в каких конкретно версиях)
Arch Linux (то же самое)

Пользователи также сообщают конфигурации, в которых уязвимость не наблюдается:

Официальные билды MySQL и MariaDB (включая Windows)
Red Hat Enterprise Linux, CentOS, Fedora Core (32-bit и 64-bit)
Ubuntu Linux 32-bit (10.04, 11.10, 12.04, вероятно все)
Debian Linux 6.0.3 64-bit (Version 14.14 Distrib 5.5.18)
Debian Linux lenny 32-bit 5.0.51a-24+lenny5
Debian Linux lenny 64-bit 5.0.51a-24+lenny5
Debian Linux lenny 64-bit 5.1.51-1-log
Debian Linux squeeze 64-bit 5.1.49-3-log
Debian Linux squeeze 32-bit 5.1.61-0+squeeze1
Debian Linux squeeze 64-bit 5.1.61-0+squeeze1

Джошуа Дрейк из компании Accuvant Labs опубликовал программу для проверки на уязвимость.

Автор: alizar

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js