MySQLにパッチ未公開の深刻な脆弱性が見つかる、MariaDBなどでは修正済み

あるAnonymous Coward曰く、　MySQLに複数の深刻な脆弱性が発見されている（ITmedia、Qiita）。

　中でもCVE-2016-6662については、LD_PRELOADを使った攻撃となっており、rootで動作しないはずのMySQLでroot権限を奪取でき、任意のコードを実行される危険性があるという（SECLISTS.ORG、legalhackers.com）。

　mysqld_safeラッパースクリプトを使用せずsystemdで直接起動している場合は影響がないかもしれないし、どこかでラッパーを使用していて脆弱かもしれない。また、未公開のCVE-2016-6663を使うと容易にFILE権限が取れるという。

　この脆弱性はMySQL5.7系、5.6系、5.5系の全バージョンにデフォルトの状態で存在するとのこと。この脆弱性自体は7月に発見されたもので、MySQLからフォークしたPerconaDBやMariaDBについては8月中に修正パッチがリリースされたが、MySQLについてはまだ修正パッチは公開されていない。Oracleは10月18日に公開する定例パッチでの対処を予定しているという。

　スラドのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
Apache OpenOffice、プロジェクトの終焉を協議 2016年09月06日
OracleがJavaを放棄するという噂を否定、「Java EE 8」の計画は9月に発表？ 2016年07月14日
OracleのCSO、ブログに「Oracle製品をリバースエンジニアリングするな」と投稿し炎上 2015年08月17日
開発が滞るVirtualBox 2015年02月03日