Новости и события » Hi-Tech » Критическая root-уязвимость в MySQL

Критическая root-уязвимость в MySQL

Опубликованы сведения о критической уязвимости (CVE-2016-6662) в MySQL и производных продуктах, таких как MariaDB и Percona Server. Уязвимость позволяет локально или удаленно атаковать сервер MySQL и повысить свои привилегии до пользователя root.

Усугубляет проблему то, что опубликован начальный прототип эксплоита (полный эксплоит планируется опубликовать позднее, дав время на выпуск обновления), в то время как сама уязвимость еще не исправлена (0-day) и проявляется в актуальных выпусках поддерживаемых веток MySQL - 5.7.15, 5.6.33 и 5.5.52. Обновления пакетов в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). Смягчает опасность то, что для эксплуатации требуется аутентифицированный доступ к БД или проведение дополнительной атаки на web-приложения, в результате которой необходимо получить возможность подстановки SQL-кода.

Непосредственно выявленная уязвимость позволяет изменить или создать файл конфигурации my.cnf. Возможность выполнения кода с правами root достигается через загрузку подставной библиотеки при помощи LD_PRELOAD при очередном перезапуске mysql (процесс mysql работает от непривилерованного пользователя, но при запуске используются права root).

По материалам:  www.opennet.ru


В компании Lamborghini задумались над созданием начальной...

В компании Lamborghini задумались над созданием начальной модели

Сотрудники компании Lamborghini задумались о новой начальной модели. Не исключено, что скоро марка выпустит новинку, которая окажется младше «Урагана». В соответствии с информацией, предоставленной зарубежными СМИ, новинка станет среднемоторной. О подробнее ...

загрузка...

 

Вверх