程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> MYSQL數據庫 >> 關於MYSQL數據庫 >> 最新MySQL數據庫漏洞情況通報

最新MySQL數據庫漏洞情況通報

編輯:關於MYSQL數據庫

近日,互聯網上披露了關於MySQL數據庫存在代碼執行漏洞( CNNVD-201609-183 )的情況。由於MySQL數據庫默認配置存在一定缺陷,導致攻擊者可利用該漏洞對數據庫配置文件進行篡改,進而以管理員權限執行任意代碼,遠程控制受影響服務器。目前,Oracle官方網站發布聲明將於10月發布關鍵補丁更新信息。

一、漏洞簡介

Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。

MySQL數據庫中的配置文件(my.cnf)存在遠程代碼執行漏洞(漏洞編號:CNNVD-201609-183,CVE-2016-6662),以下版本受到該漏洞影響:MySQL 5.7.15及之前的版本,5.6.33及之前的版本,5.5.52及之前的版本。

CNNVD針對上述漏洞的利用原理進行梳理,總結如下:

MySQL服務在服務器上擁有兩個進程,其中一個進程擁有管理員(root)權限,另一個擁有普通用戶(MySQL)權限。擁有管理員(root)權限的進程可以加載並執行配置文件中所聲明的動態連接庫(so庫),並在特定文件權限下通過sql語句或使用添加觸發器等方法修改上述配置文件,造成在MySQL服務重啟時,具有管理員(root)權限的進程加載並執行該動態連接庫,執行任意代碼,達到提升權限的目的。

二、漏洞危害

攻擊者(本地或遠程)可通過正常訪問或惡意注入等手段,利用該漏洞對配置文件進行修改,從而以管理員權限執行任意代碼,完全控制受影響的服務器。

2. 目前,使用MySQL內核的開源數據庫MariaDB和PerconaDB受該漏洞影響,並於9月6日發布漏洞修復補丁。

三、修復措施

Oracle官方網站將於10月18日發布關鍵補丁更新,請可能受影響的用戶及時關注信息,及時修復漏洞,消除隱患。

公告鏈接:http://www.oracle.com/technetwork/topics/security/alerts-086861.html

部署MySQL數據庫的用戶,應及時檢查所使用的MySQL版本是否在受影響范圍內。如受影響,可采取該緩解方案:關閉MySQL用戶file權限。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved