MySQL数据库中公开披露的漏洞可能允许攻击者完全妥协某些服务器。
根据发现它。
可以利用作为CVE-2016-6662的缺陷来解除为修改MySQL配置文件(My.cnF)并导致攻击者控制库,如果使用MySQLD_SAFE包装器脚本启动MySQL进程,则会使用root权限执行。
如果攻击者具有与MySQL服务的经过身份验证的连接,则可以执行漏洞利用,该连接在共享托管环境中常见,或通过SQL注入漏洞,网站中的常见类型的漏洞。
Golunski报告了对所有三个受影响数据库服务器的开发人员的漏洞,但只有MariaDB和Percona DB已到目前为止收到补丁。根据研究人员的说法,在7月29日推出了甲骨文,该oracle于7月29日被告知,但尚未解决缺陷。
Oracle根据季度计划和下一个预期在10月份释放安全更新。但是,由于MariaDB和Percona补丁自8月底以来公开,研究人员决定周一发布有关该漏洞的详细信息,以便MySQL管理员可以采取行动保护其服务器。
Golunski的咨询载有一个有限的概念证明漏洞,但有些部分被故意遗漏以防止普遍滥用。研究人员还报告了对Oracle,CVE-2016-6663的第二次漏洞,这可以进一步简化攻击,但他尚未发布关于它的详细信息。
关于CVE-2016-6662的披露与专业讨论论坛的一些批评会议,其中一些用户认为它实际上是一个特权升级漏洞,而不是如上所述的远程代码执行,因为攻击者需要一些级别的访问到数据库。
“作为临时缓解,用户应该确保MySQL用户拥有MySQL配置文件,并在他的咨询中表示,创建未使用的根本伪文My.CNF文件。“这些绝不是一个完整的解决方案,用户应该尽快申请官方供应商修补程序。”
Oracle并没有立即回复评论漏洞的请求。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。