Новости и события » Hi-Tech » Критическая root-уязвимость в MySQL

Критическая root-уязвимость в MySQL

Опубликованы сведения о критической уязвимости (CVE-2016-6662) в MySQL и производных продуктах, таких как MariaDB и Percona Server. Уязвимость позволяет локально или удаленно атаковать сервер MySQL и повысить свои привилегии до пользователя root.

Усугубляет проблему то, что опубликован начальный прототип эксплоита (полный эксплоит планируется опубликовать позднее, дав время на выпуск обновления), в то время как сама уязвимость еще не исправлена (0-day) и проявляется в актуальных выпусках поддерживаемых веток MySQL - 5.7.15, 5.6.33 и 5.5.52. Обновления пакетов в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). Смягчает опасность то, что для эксплуатации требуется аутентифицированный доступ к БД или проведение дополнительной атаки на web-приложения, в результате которой необходимо получить возможность подстановки SQL-кода.

Непосредственно выявленная уязвимость позволяет изменить или создать файл конфигурации my.cnf. Возможность выполнения кода с правами root достигается через загрузку подставной библиотеки при помощи LD_PRELOAD при очередном перезапуске mysql (процесс mysql работает от непривилерованного пользователя, но при запуске используются права root).


Серия А: Наполи на выезде обыграл Верону

Серия А: Наполи на выезде обыграл Верону

В матче первого тура Серии А Наполи на выезде обыграл Верону со счетом 3:1. Наполи начал новый сезон с уверенной выездной победы против Вероны - 3:1. Маурицио Сарри провел четыре замены в составе Наполи по сравнению с матчем против Ниццы - Альбиоль, подробнее ...

загрузка...

 

Вверх