MySQL Dumper, das es sowohl als Stand-alone Tool als auch als TYPO3 Extension gibt, hat offenbar eine gravierende Sicherheitslücke. Diese Lücke erlaubt es einem Angreifer, Lese- und Schreibrecht für die Datenbank zu erlangen und sie komplett herunterzuladen, sofern er den Pfad der MySQL-Dumper-Installation errät. Bei der TYPO3-Extension ist dieser Pfad vorgegeben und somit allgemein bekannt, aber auch wer das Stand-alone Tool unter www.domain.com/mysqldumper installiert hat lebt gefährlich. Brisant ist, dass MySQL Dumper selbst eindringlich empfiehlt, die Installation mit einem Passwort zu schützen, dass aber der vom Tool selbst angelegt Passwortschutz unterlaufen werden kann – der Anwender wiegt sich deshalb in falscher Sicherheit.
Die Sicherheitslücke wurde in einem Bulletin des TYPO3 Security Teams publiziert. Diesem ist auch zu entnehmen, dass die Autoren von MySQL Dumper während 3 Wochen nicht auf entsprechende Warnungen reagiert haben. Auch heute liest man auf www.mysqldumper.de nichts von diesem gravierenden Sicherheitsproblem. Unter den gegebenen Umständen muss ich meine einstige Empfehlung für dieses Tool rückgängig machen. Wenn Sie trotzdem nicht auf MySQL Dumper verzichten wollen, dann ergreifen Sie zumindest die folgenden Sicherheitsmassnahmen:
- Installieren Sie MySQL Dumper in einem Verzeichnis, dessen Pfad niemand erraten kann.
- Legen Sie den Passwortschutz für dieses Verzeichnis manuell an (d.h. nicht mit MySQL Dumper).
- Verzichten Sie auf die TYPO3 Extension, nutzen Sie nur das Stand-alone Tool.
Weiter als bis zur Startseite von mysqldumper.de bist Du wohl nicht vorgedrungen? Ansonsten hättest Du nämlich festgestellt, dass im Support-Forum sehr wohl auf das Security Bulletin eingegangen wird!
Und weil Du für das Tool schon mal empfohlen hast, wäre es durchaus ratsam gewesen, die Autoren von mysqldumper.de mal zu kontaktieren und deren Sicht der Dinge anzuhören anstatt stumpf von anderen Sites die Meldung abzuschreiben. Da gäb es nämlich sehr interessantes zu berichten!
Es gibt nämlich nicht nur SCHWARZ und WEIß, sondern auch grau.
Nach meinen Informationen ist der folgende Absatz schlicht falsch:
“We haven’t got any cooperative reaction from any of the authors of MySQLDumper to our mail from 12th June 2007 where we reported the discovery of the latest found security hole. Until now we don’t have any evidence that the authors of MySQLDumper are working on fixing the reported flaw.
In addition, an earlier and still ongoing cooperation with the author of the TYPO3 extension mysqldumper to fix the second security issue mentioned above has not been completely satisfying from the perspective of the TYPO3 security team.”
[1] Nein, weiter als bis zur Startseite bin ich nicht vorgedrungen. Wenn eine Software eine derart gravierende Sicherheitslücke hat und es einen Fix dafür gibt, dann erwarte ich, dass das irgendwo auf der Homepage angekündigt wird – nicht bloss auf einer Unterseite.
[2] Wenn Du schon darauf hinweist, dass es im Support-Forum einen entsprechenden Thread gibt, wäre es nett gewesen, auch gleich den Link anzugeben. Hier ist er: http://www.mysqldumper.de/board/viewtopic.php?t=2853
[3] Der obige Thread wurde am 4.7.2007 angelegt, das Security Bulletin wurde am 3.7.2007 verschickt. Die Richtigkeit der Aussage, dass die Entwickler von MySQL Dumper vorher mehrere Wochen nicht reagiert haben, kann ich natürlich nicht nachprüfen. Aber aufgrund der Indizien sehe ich auch keinen Grund, daran zu zweifeln. Vermerken wir also einfach die positive Tatsache, dass es inzwischen einen Bugfix gibt.
[4] Das hier ist ein Blog, nicht DER SPIEGEL. Meine Möglichkeiten, alle Fakten zu recherchieren, sind begrenzt. Dafür kann hier jeder seine Meinung kundtun und damit dem Leser auch abweichende Standpunkte näherbringen.
[5] Wer mit derart spitzer Feder postet darf ruhig seinen Namen nennen und auf sein eigenes Blog verlinken, statt sich nur hinter einem Kürzel zu verstecken.
Ein schönes Tool ist auch hier zu finden, natürlich ist auch hier angeraten einen unbekannten Verzeichnisnamen zu wählen und das Verzeichnis mit einer Htaccess zu schützen.
Der Vorteil zu mysqldumper liegt in der komfortablen Backupmöglichkeit von mehreren Datenbanken.
Hier gehts zum Tool:
http://www.phpmybackuppro.net/
(nach den vielen Meldungen über die Sicherheitslücken
bei mysqldumper bin ich darauf gestoßen, ich hatte auch mit einer kurzem Statement auf der Startseite von mysqldumper gehofft .-)))
Viele Grüße
Eric