一个公开披露的漏洞在MySQL数据库中,可以让攻击者完全妥协的一些服务器。该漏洞影响所有MySQL服务器在默认配置在所有版本的分支(5.7,5.6,5.5)包括最新的版本,以及导出数据库MariaDB和Percona的数据库MySQL,据Dawid Golunski说,研究人员发现它。缺陷,如 cve-2016-6662跟踪,可以用来修改mysql的配置文件(我,CNF),导致攻击者控制的图书馆被执行以root权限如果MySQL进程开始与mysqld_safe包装器脚本。
该漏洞可如果攻击者已经验证连接到MySQL服务器执行的,这是常见的共享主机的环境,或通过一个SQL注入漏洞,漏洞在网站的常见类型。golunski报告了漏洞的所有三个受影响的数据库服务器的开发人员,但只有MariaDB和Percona DB迄今收到的补丁。Oracle,MySQL的开发,获悉,7月29日,根据研究人员,但尚未解决的缺陷。Oracle发布基于季度计划和下一个预计十月安全更新。然而,由于MariaDB和Percona的补丁,8月底以来被公开,研究者决定发布有关漏洞星期一让MySQL管理员可以采取行动来保护他们的服务器.Golunski的顾问包含概念利用有限的证据,但有些部分已经有意把防止滥用。研究者还报告了二漏洞Oracle,cve-2016-6663,可能袭击的进一步简化,但他没有公布细节呢。
对cve-2016-6662披露了一些批评在专业论坛上,一些网友认为,这实际上是一个权限提升漏洞而不是一个远程执行代码的一个描述,因为攻击者将需要一定程度的对数据库的访问。“作为暂时的缓解,用户应该确保没有MySQL的配置文件是由MySQL用户拥有,并创建根拥有虚拟my.cnf文件没有被使用,”Golunski在他的报告中说。”这些都不是一个完整的解决方案,用户应该使用官方供应商补丁,尽快为他们提供。
Copyright© 2004-2020 河南海腾电子技术有限公司 版权所有 经营性ICP/ISP证 备案号:B1-20180452
豫公网安备 41019702002018号
电子营业执照
400-6717-361
