最新MySQL數據庫破綻情形傳遞。本站提示廣大學習愛好者:(最新MySQL數據庫破綻情形傳遞)文章只能為提供參考,不一定能成為您想要的結果。以下是最新MySQL數據庫破綻情形傳遞正文
近日,互聯網上表露了關於MySQL數據庫存在代碼履行破綻( CNNVD-201609-183 )的情形。因為MySQL數據庫默許設置裝備擺設存在必定缺點,招致進擊者可應用該破綻對數據庫設置裝備擺設文件停止改動,進而以治理員權限履行隨意率性代碼,長途掌握受影響辦事器。今朝,Oracle官方網站宣布聲明將於10月宣布症結補釘更新信息。
1、破綻簡介
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫治理體系。
MySQL數據庫中的設置裝備擺設文件(my.cnf)存在長途代碼履行破綻(破綻編號:CNNVD-201609-183,CVE-2016-6662),以下版本遭到該破綻影響:MySQL 5.7.15及之前的版本,5.6.33及之前的版本,5.5.52及之前的版本。
CNNVD針對上述破綻的應用道理停止梳理,總結以下:
MySQL辦事在辦事器上具有兩個過程,個中一個過程具有治理員(root)權限,另外一個具有通俗用戶(MySQL)權限。具有治理員(root)權限的過程可以加載並履行設置裝備擺設文件中所聲明的靜態銜接庫(so庫),並在特定文件權限下經由過程sql語句或應用添加觸發器等辦法修正上述設置裝備擺設文件,形成在MySQL辦事重啟時,具有治理員(root)權限的過程加載並履行該靜態銜接庫,履行隨意率性代碼,到達晉升權限的目標。
2、破綻傷害
進擊者(當地或長途)可經由過程正常拜訪或歹意注入等手腕,應用該破綻對設置裝備擺設文件停止修正,從而以治理員權限履行隨意率性代碼,完整掌握受影響的辦事器。
2. 今朝,應用MySQL內核的開源數據庫MariaDB和PerconaDB受該破綻影響,並於9月6日宣布破綻修復補釘。
3、修復辦法
Oracle官方網站將於10月18日宣布症結補釘更新,請能夠受影響的用戶實時存眷信息,實時修復破綻,清除隱患。
通知布告鏈接:http://www.oracle.com/technetwork/topics/security/alerts-086861.html
安排MySQL數據庫的用戶,應實時檢討所應用的MySQL版本能否在受影響規模內。如受影響,可采用該減緩計劃:封閉MySQL用戶file權限。
