攻击者可利用MySQL零日漏洞控制数据库（含POC）

 

E安全9月13日讯 波兰安全研究员Dawid Golunski发现两个零日漏洞：CVE-2016-6662和CVE-2016-6663。这两个零日漏洞影响了目前所有MySQL版本，并允许攻击者完全控制数据库。

Golunski表示，他向甲骨文公司和其它过去MySQL源代码分支(比如MariaDB和PerconaDB)数据库厂商通知了两大零日漏洞。

昨日，在MariaDB 和PerconaDB 修复漏洞(甲骨文未修复)后，Golunski公布了CVE-2016-6662概念认证漏洞利用代码。

甲骨文最可能在十月的CPU中打补丁

甲骨文具有严格的安全更新计划，每三个月更新一次。上一次，甲骨文的关键补丁更新(Critical Patch Update，CPU)于7月19日发布。

Golunski表示，他于7月29日将漏洞报告给了甲骨文。他还提到，甲骨文的安全团队承认并鉴别了报告。下一个甲骨文CPU计划于10月18日发布。

Golunski解释道，“PerconaDB和MariaDB厂商于8月30日之前打了漏洞补丁。打补丁的过程中，补丁加入公共资源库，新版本中也提及修复的安全漏洞，恶意攻击者可能也注意到了。”

“距离报告漏洞已超过40天，补丁已经公开提及，决定泄露漏洞(与有限的概念论证)是为了告知用户漏洞存在的风险，毕竟甲骨文只会在10月底发布下一个CPU更新。”

攻击者通过“零日”完全控制数据库，影响MySQL版本

CVE-2016-6662允许攻击者从远程或本地将自定义数据库设置注入MySQL配置文件(my.conf)。

CVE-2016-6662漏洞仅影响默认配置下运行的MySQL服务器，并于第一个数据库按照开发步骤重启后被触发。数据库服务器通常在系统更新、软件包更新或系统重启时重启。

Golunski称，攻击者能利用SQL注入散布漏洞利用代码或使用从网络连接或数据集端口(比如phpMyAdmin)验证访问。

零日通过root用户导致RCE(远程代码执行)

CVE-2016-6662允许攻击者修改my.conf文件并加载通过root权限执行的第三方代码。

Golunski未公开发现的第二个漏洞CVE-2016-6663—CVE-2016-6662的变种，也会导致root用户远程代码执行。

下载POC脚本

Golunski提出一些临时缓解措施保护服务器，直到甲骨文在下一个CPU中修复漏洞。

他指出，“对于临时缓解措施，用户应确保mysql用户不具有MySQL配置文件，并创建root所属的虚拟未使用my.cnf文件。”

Golunski强调，这些只是变通方案，当补丁可供使用时，用户应该尽快使用厂商补丁。

(责任编辑：宋编辑)