524300
01.11.2016 исследователь информационной безопасности Давид Голански (Dawid Golunski) сообщил об обнаружении критической уязвимости в системе управления базами данных MySQL и производных продуктах: MariaDB, Percona Server, Percona XtraDB Cluster.
Уязвимость, получившая идентификатор CVE-2016-6663, связана с возможностью вызова состояния гонки (race condition) при работе с таблицами. Уязвимость может позволить локальному пользователю, имеющему доступ к базе данных с минимальными правами, повысить привилегии и выполнить произвольный код в системе, а также получить доступ ко всем базам данных, хранящимся на целевом сервере. Эксплуатация данной уязвимости в сочетании с другими уязвимостями (CVE-2016-6662 и CVE-2016-6664) может позволить злоумышленнику получить права суперпользователя и, как следствие, полный доступ к скомпрометированному серверу.
Разработчики были проинформированы об уязвимости и устранили её в последних версиях продуктов: MySQL (5.5.51, 5.6.32, 5.7.14), MariaDB (5.5.52, 10.1.18, 10.0.28), Percona Server (5.5.51-38.2, 5.6.32-78-1, 5.7.14-8), Percona XtraDB Cluster (5.6.32-25.17, 5.7.14-26.17, 5.5.41-37.0).
Пользователям рекомендуется выполнить соответствующие обновления.
В качестве временной меры для решения проблемы можно отключить поддержку символьных ссылок в настройках конфигурации сервера базы данных, прописав в файле настроек «my.cnf»:
| symbolic-links = 0 |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
