湖北快3

EN
您当前的位置: 湖北快3 - 网络安全 - 通告和预警 - 正文

【漏洞预警】MySQL现高危漏洞,可致服务器root权限被窃取

时间:2016-12-14 阅读: 我要纠错

 


11月初,一位名叫Dawid Golunski的波兰黑客存在于MySQL中的漏洞:一个远程root代码执行漏洞和一个权限提升漏洞。当时,Golunski只提供了第一个漏洞的poc,但是承诺之后会透露第二个漏洞(CVE-2016-6663)的更多细节。

Golunski公布了针对两个漏洞的PoC:第一个PoC针对的是之前的高危权限提升漏洞,而另一个PoC针对的则是一个新的root权限提升漏洞,利用这个漏洞,攻击者能够获取到整个数据库的权限。

漏洞编号

cve-2016-6663 

湖北快3cve-2016-6664 

漏洞影响

mysqlbanben < 5.5.51 huo 

湖北快3                    < 5.6.32 huo 

                   < 5.7.14 

mysqlyanshengbanben:percona server、mariadb 

漏洞介绍

权限提升/竞争条件漏洞(CVE-2016-6663)

benzhoufabudelianggeloudongzhongjiaoweiyanzhongdeshijingzhengtiaojian(race condition)loudong,tanenggourangyigediquanxianzhanghao(yongyoucreate/insert/selectquanxian)tishengquanxianbingqieyixitongyonghushenfenzhixingrenyidaima。 

yidanloudongbeiliyong,heikejiunenggouchenggonghuoqudaoshujukufuwuqineidesuoyoushujuku。 

Root权限提升(CVE-2016-6664)

lingyigeloudongzeshirootquanxiantishengloudong,zheigeloudongkeyirangyongyoumysqlxitongyonghuquanxiandegongjizhetishengquanxianzhiroot,yibianjinyibugongjizhenggexitong。 

daozhizheigewentideyuanyinqishishiyinweimysqlduicuowurizhiyijiqitawenjiandechulibugouanquan,zheixiewenjiankeyibeitihuanchengrenyidexitongwenjian,congerbeiliyonglaihuoqurootquanxian。 

湖北快3zheigeloudongyuqianmiantidaodequanxiantishengloudongpeiheshiyongfengweigengjia——heikexianshiyongquanxiantishengloudong(cve-2016-6663)baputongyonghutishengweixitongyonghu,zhihouzailiyongrootquanxiantishengloudong(cve-2016-6664)jinyibutishengweirootyonghu。 

suoyoudezheixieloudongdoukeyizaigongxianghuanjingzhongshiyong。zaigongxianghuanjingzhong,yonghunenggoufangwengezidulideshujuku。ertongguozheixieloudong,heikekeyihuoqudaosuoyoushujukudequanxian。 

漏洞PoC

golunskiyijingfabulelianggeloudongdepocdaima:、。

湖北快3mysqlyijingxiufulezheilianggeloudong,bingqiezaishanggeyuedejidugengxinzhongfabulebuding。 

修复方案

我们强烈建议站长们尽快安装补丁,如果无法立即安装补丁,也可以采用临时的解决方案——关闭数据库服务器配置中的符号链接支持(在my.cnf中设置symbolic-links = 0)。

*转载来自FreeBuf(FreeBuf.com)