攻击者可利用MySQL零日漏洞控制数据库
E安全9月13日讯 波兰安全研究员Dawid Golunski发现两个零日漏洞:CVE-2016-6662和CVE-2016-6663。这两个零日漏洞影响了目前所有MySQL版本,并允许攻击者完全控制数据库。
Golunski表示,他向甲骨文公司和其它过去MySQL源代码分支(比如MariaDB和PerconaDB)数据库厂商通知了两大零日漏洞。
昨日,在MariaDB 和PerconaDB 修复漏洞(甲骨文未修复)后,Golunski公布了CVE-2016-6662概念认证漏洞利用代码。
甲骨文最可能在十月的CPU中打补丁
甲骨文具有严格的安全更新计划,每三个月更新一次。上一次,甲骨文的关键补丁更新(Critical Patch Update,CPU)于7月19日发布。
Golunski表示,他于7月29日将漏洞报告给了甲骨文。他还提到,甲骨文的安全团队承认并鉴别了报告。下一个甲骨文CPU计划于10月18日发布。
Golunski解释道,“PerconaDB和MariaDB厂商于8月30日之前打了漏洞补丁。打补丁的过程中,补丁加入公共资源库,新版本中也提及修复的安全漏洞,恶意攻击者可能也注意到了。”
“距离报告漏洞已超过40天,补丁已经公开提及,决定泄露漏洞(与有限的概念论证)是为了告知用户漏洞存在的风险,毕竟甲骨文只会在10月底发布下一个CPU更新。”
攻击者通过“零日”完全控制数据库,影响MySQL版本
CVE-2016-6662允许攻击者从远程或本地将自定义数据库设置注入MySQL配置文件(my.conf)。
CVE-2016-6662漏洞仅影响默认配置下运行的MySQL服务器,并于第一个数据库按照开发步骤重启后被触发。数据库服务器通常在系统更新、软件包更新或系统重启时重启。
Golunski称,攻击者能利用SQL注入散布漏洞利用代码或使用从网络连接或数据集端口(比如phpMyAdmin)验证访问。
零日通过root用户导致RCE(远程代码执行)
CVE-2016-6662允许攻击者修改my.conf文件并加载通过root权限执行的第三方代码。
Golunski未公开发现的第二个漏洞CVE-2016-6663—CVE-2016-6662的变种,也会导致root用户远程代码执行。
Golunski提出一些临时缓解措施保护服务器,直到甲骨文在下一个CPU中修复漏洞。
他指出,“对于临时缓解措施,用户应确保mysql用户不具有MySQL配置文件,并创建root所属的虚拟未使用my.cnf文件。”
Golunski强调,这些只是变通方案,当补丁可供使用时,用户应该尽快使用厂商补丁。
临时修复建议:关闭mysql用户file权限 !
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。