Vulnerabilitate critică în MySQL

Recent a fost publicată o nouă vulnerabilitate MySQL de tip 0day, cu codul CVE-2016-6662.

Vulnerabilitatea permite atacatorilor să efectueze operațiuni de tip SQL injection, permițând efectuarea de cod cu privilegii de root, chiar și în situația existenței SELinux sau AppArmour. La data acestui articol, MariaDB și Percona au implementat deja patch-uri pentru această vulnerabilitate, urmând ca Oracle să publice un patch pentru MySQL.

 

Vă recomandăm să verificați versiunea bazei de date folosite și să remediați de urgență această vulnerabilitate.

• dacă nu ați migrat către MariaDB sau Percona, considerați această opțiune
• dacă folosiți deja MariaDB sau Percona, verificați versiunea instalată;
  • pentru MariaDB, versiunile patch-uite sunt 5.5.51, 10.1.17 și respectiv 10.0.27
  • pentru Percona, versiunile sigure sunt 5.5.51-38.1, 5.6.32-78.0 și 5.7.14-7

Informații suplimentare:

• http://seclists.org/oss-sec/2016/q3/481
• http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html