Top
首页 > 网络和信息安全 > 新闻快递 > 正文

攻击者可利用MySQL零日漏洞控制数据库(含POC)

9月13日讯 波兰安全研究员Dawid Golunski发现两个零日漏洞:CVE-2016-6662和CVE-2016-6663。这两个零日漏洞影响了目前所有MySQL版本,并允许攻击者完全控制数据库。
发布时间:2016-09-13 14:56        来源:secwk.com        作者:

9月13日讯 波兰安全研究员Dawid Golunski发现两个零日漏洞:CVE-2016-6662和CVE-2016-6663。这两个零日漏洞影响了目前所有MySQL版本,并允许攻击者完全控制数据库。

Golunski表示,他向甲骨文公司和其它过去MySQL源代码分支(比如MariaDB和PerconaDB)数据库厂商通知了两大零日漏洞。

昨日,在MariaDB 和PerconaDB 修复漏洞(甲骨文未修复)后,Golunski公布了CVE-2016-6662概念认证漏洞利用代码。

甲骨文最可能在十月的CPU中打补丁

甲骨文具有严格的安全更新计划,每三个月更新一次。上一次,甲骨文的关键补丁更新(Critical Patch Update,CPU)于7月19日发布。

Golunski表示,他于7月29日将漏洞报告给了甲骨文。他还提到,甲骨文的安全团队承认并鉴别了报告。下一个甲骨文CPU计划于10月18日发布。

Golunski解释道,“PerconaDB和MariaDB厂商于8月30日之前打了漏洞补丁。打补丁的过程中,补丁加入公共资源库,新版本中也提及修复的安全漏洞,恶意攻击者可能也注意到了。”

“距离报告漏洞已超过40天,补丁已经公开提及,决定泄露漏洞(与有限的概念论证)是为了告知用户漏洞存在的风险,毕竟甲骨文只会在10月底发布下一个CPU更新。”

攻击者通过“零日”完全控制数据库,影响MySQL版本

CVE-2016-6662允许攻击者从远程或本地将自定义数据库设置注入MySQL配置文件(my.conf)。

CVE-2016-6662漏洞仅影响默认配置下运行的MySQL服务器,并于第一个数据库按照开发步骤重启后被触发。数据库服务器通常在系统更新、软件包更新或系统重启时重启。

Golunski称,攻击者能利用SQL注入散布漏洞利用代码或使用从网络连接或数据集端口(比如phpMyAdmin)验证访问。

零日通过root用户导致RCE(远程代码执行)

CVE-2016-6662允许攻击者修改my.conf文件并加载通过root权限执行的第三方代码。

Golunski未公开发现的第二个漏洞CVE-2016-6663—CVE-2016-6662的变种,也会导致root用户远程代码执行。

下载POC脚本

Golunski提出一些临时缓解措施保护服务器,直到甲骨文在下一个CPU中修复漏洞。

他指出,“对于临时缓解措施,用户应确保mysql用户不具有MySQL配置文件,并创建root所属的虚拟未使用my.cnf文件。”

Golunski强调,这些只是变通方案,当补丁可供使用时,用户应该尽快使用厂商补丁。

专题访谈

合作站点
stat