Database MySQL bevat een gat waardoor elk wachtwoord wordt toegelaten tot het root-account. Er is al wel een patch beschikbaar voor dit lek, maar totdat die overal is geïnstalleerd, lopen databases gevaar.

Een bug in MySQL en ook in MariaDB zorgt ervoor dat deze databases ieder aangeboden wachtwoord blind accepteren. MySQL genereert een SHA-token voor een wachtwoord, maar door het gat wordt ook een verkeerd wachtwoord goedgekeurd.
Kraak in fractie van een seconde

Het beveiligingsprotocol van MySQL gebruikt willekeurige strings, waardoor één op de 256 keer een fout wachtwoord wordt toegelaten. De ontdekker van het probleem wijst erop dat 300 pogingen in een fractie van een seconde zijn uit te voeren. Hierdoor is dit gat goed te gebruiken voor een praktische aanval.

Het gevaar is wel beperkt tot MySQL-opstellingen waarbij remote toegang is ingeschakeld. Meestal is een MySQL-database niet via remote toegang te bereiken, stelt hacker HD Moore, de maker van hackerstoolkit Metasploit. In dat geval kunnen kwaadwillenden geen schade aanrichten via het lek. Linux-distributies die de daemon voor de MySQL-database niet aan localhost hangen, zijn wel kwetsbaar. Het gat is inmiddels gedicht met een bredere patch die vorige maand is uitgebracht.
Aanval in Metasploit

HD Moore's beveiligingsbedrijf Rapid7 heeft het gat verder onderzocht en daarbij ontdekt dat vooral databases kwetsbaar zijn die SSE-processoroptimalisatie gebruiken. Tot nu toe heeft de firma de bug aangetroffen op systemen die draaien op OpenSuse 12.1, verschillende versies van 64-bit Ubuntu, 64-bit Fedora 16 en Arch Linux.

Rapid7 heeft de exploit al toegevoegd aan Metasploit. Daarin is een module toegevoegd die een brute force aanval uitvoert en de hash van de wachtwoordendatabase kopieert. Op deze manier is er zelfs na het patchen van het lek toegang mogelijk tot de MySQL-database. De aanvallers hebben na een enkele succesvolle aanval immers alle échte wachtwoorden in handen.