首頁 >資料庫 >mysql教程 >最新MySQL資料庫漏洞通報_MySQL

最新MySQL資料庫漏洞通報_MySQL

WBOY
WBOY原創
2016-10-09 08:33:421155瀏覽

近日,網路上揭露了關於MySQL資料庫存在程式碼執行漏洞( CNNVD-201609-183 )的情況。由於MySQL資料庫預設配置有一定缺陷,導致攻擊者可利用該漏洞對資料庫設定檔進行竄改,進而以管理員權限執行任意程式碼,遠端控制受影響伺服器。目前,Oracle官方網站發布聲明將於10月發布關鍵補丁更新資訊。

一、漏洞簡介

Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關聯式資料庫管理系統。

MySQL資料庫中的設定檔(my.cnf)存在遠端程式碼執行漏洞(漏洞編號:CNNVD-201609-183,CVE-2016-6662),以下版本受到此漏洞影響:MySQL 5.7.15及之前的版本,5.6.33及之前的版本,5.5.52及之前的版本。

CNNVD針對上述漏洞的利用原理進行梳理,總結如下:

MySQL服務在伺服器上擁有兩個進程,其中一個進程擁有管理員(root)權限,另一個擁有普通用戶(MySQL)權限。擁有管理員(root)權限的進程可以載入並執行設定檔中所聲明的動態連線庫(so庫),並在特定檔案權限下透過sql語句或使用新增觸發器等方法修改上述設定文件,造成在MySQL服務重新啟動時,具有管理員(root)權限的程序會載入並執行該動態連線庫,執行任意程式碼,達到提升權限的目的。

二、漏洞危害

攻擊者(本地或遠端)可透過正常存取或惡意注入等手段,利用該漏洞對設定檔進行修改,從而以管理員權限執行任意程式碼,完全控制受影響的伺服器。

2. 目前,使用MySQL核心的開源資料庫MariaDB和PerconaDB受該漏洞影響,並於9月6日發布漏洞修復修補程式。

三、修補措施

Oracle官方網站將於10月18日發布關鍵補丁更新,請可能受影響的用戶及時關注信息,及時修復漏洞,消除隱患。

公告連結:http://www.oracle.com/technetwork/topics/security/alerts-086861.html

部署MySQL資料庫的用戶,應及時檢查所使用的MySQL版本是否在受影響範圍內。如受影響,可採取此緩解方案:關閉MySQL使用者file權限。

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn