MySQLにパッチ未公開の深刻な脆弱性が見つかる、MariaDBなどでは修正済み
2016年9月14日 11:22
あるAnonymous Coward曰く、 MySQLに複数の深刻な脆弱性が発見されている(ITmedia、Qiita)。
中でもCVE-2016-6662については、LD_PRELOADを使った攻撃となっており、rootで動作しないはずのMySQLでroot権限を奪取でき、任意のコードを実行される危険性があるという(SECLISTS.ORG、legalhackers.com)。
mysqld_safeラッパースクリプトを使用せずsystemdで直接起動している場合は影響がないかもしれないし、どこかでラッパーを使用していて脆弱かもしれない。また、未公開のCVE-2016-6663を使うと容易にFILE権限が取れるという。
この脆弱性はMySQL5.7系、5.6系、5.5系の全バージョンにデフォルトの状態で存在するとのこと。この脆弱性自体は7月に発見されたもので、MySQLからフォークしたPerconaDBやMariaDBについては8月中に修正パッチがリリースされたが、MySQLについてはまだ修正パッチは公開されていない。Oracleは10月18日に公開する定例パッチでの対処を予定しているという。
スラドのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー: Apache OpenOffice、プロジェクトの終焉を協議 2016年09月06日 OracleがJavaを放棄するという噂を否定、「Java EE 8」の計画は9月に発表? 2016年07月14日 OracleのCSO、ブログに「Oracle製品をリバースエンジニアリングするな」と投稿し炎上 2015年08月17日 開発が滞るVirtualBox 2015年02月03日