Показано с 1 по 2 из 2

Тема: Критическая уязвимость в MySQL

  1. #1
    ISPsystem team
    Регистрация
    13.02.2015
    Сообщений
    18

    По умолчанию Критическая уязвимость в MySQL

    Портал legalhackers.com опубликовал сведения о критической уязвимости (CVE-2016-6662) в MySQL, включая такие производные продукты, как MariaDB и Percona Server. Там же приводятся данные о том, как уязвимость может быть использована злоумышленниками.

    Затрагиваемые версии MySQL:

    • <= 5.7.15
    • <= 5.6.33
    • <= 5.5.52

    Уязвимость позволяет любому пользователю с правами на выполнение операций SELECT/FILE локально или удалённо атаковать сервер MySQL, повысив свои привилегии до root-пользователя. Причем права FILE требуются не обязательно, но способ обхода будет опубликована позднее под CVE-2016-6663.

    Обновления пакетов с прошлыми версиями mysql/mariadb в дистрибутивах еще не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). Применяемые по умолчанию правила SELinux и AppArmor не влияют на результаты атаки. Однако есть рекомендации по минимизации рисков:

    https://github.com/willfong/mariadb-...ster/README.md
    http://www.devshed.com/c/a/mysql/sec...es-with-mysql/

  2. #2
    Cool UNIX admin Аватар для ls
    Регистрация
    12.03.2007
    Сообщений
    10,471

    По умолчанию

    Вот тут более подробно https://www.opennet.ru/opennews/art.shtml?num=45127
    Проблема связана с тем, что можно переписать файл конфигурации my.cnf
    MySQL сервер при обычных настройках не может изменять файлы конфигурации в каталоге /etc, но поддерживает работу с конфигом /var/lib/mysql/my.cnf
    Workaround для решения проблемы сводится к созданию такого файла и лишению возможности его изменять
    Код:
    touch /var/lib/mysql/my.cnf
    chattr +i /var/lib/mysql/my.cnf

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •