MySQL的零日漏洞使某些服务器在黑客攻击的风险, 远程控制软件，灰鸽子下载

admin

MySQL的零日漏洞使某些服务器在黑客攻击的风险, 远程控制软件，灰鸽子下载

未修补的漏洞可以被利用来获得对服务器的根访问权限

在MySQL数据库中一个公开披露的漏洞可能允许攻击者完全破坏某些服务器。

该漏洞影响，以及MySQL的衍生数据库MariaDB的和Percona的DB“在所有版本的分支（5.7，5.6和5.5），包括最新版本，在默认配置下所有MySQL服务器”，根据的Dawid Golunski，谁发现了研究员它。

这个安全漏洞，跟踪为CVE-2016-6662，可被利用来修改MySQL配置文件（my.cnf）中，并导致攻击者控制的库以root权限，如果MySQL的进程开始与mysqld_safe的包装脚本来执行。

该漏洞如果攻击者有一个验证的连接到MySQL服务，这是常见的共享主机的环境，或通过SQL注入漏洞，漏洞的网站常见的类型可以被执行。

Golunski报告易受所有三个受影响的数据库服务器的开发者，但只MariaDB的和的Percona DB接收补丁为止。甲骨文，而开发的MySQL，于7月29日获悉，根据研究，但目前尚未修复的漏洞。


Oracle发布了基于一季报时间表安全更新和下一个是在十月的预期。然而，由于MariaDB的和Percona的修补程序公开自8月底，研究人员决定释放细节有关漏洞周一，这样的MySQL管理员可以采取行动来保护他们的服务器。

Golunski的通报包含有限的证明概念漏洞，但有些部分已经被故意留出，以防止普遍滥用。研究人员还报告了第二个漏洞对Oracle，CVE-2016-6663，这可能会进一步简化了进攻，但他并没有公布有关的细节呢。

CVE-2016-6662披露了会见了专门的论坛一些批评，其中一些用户认为，这实际上是一个权限提升漏洞，而不是一个远程代码执行的一个描述的那样，因为攻击者需要获得某种程度的数据库。

“作为临时缓解，用户应确保没有mysql的配置文件被MySQL用户所有，并创建不使用root所有假人的my.cnf文件，”Golunski在他的顾问说。 “这绝不是一个完整的解决方案和用户应尽快为他们变得可用适用官方供应商的修补。”

甲骨文没有立即回应有关该漏洞的评论的请求。