MySQLにパッチ未公開の深刻な脆弱性が見つかる、MariaDBなどでは修正済み 14
ストーリー by hylom
またOracleは 部門より
またOracleは 部門より
あるAnonymous Coward曰く、
MySQLに複数の深刻な脆弱性が発見されている(ITmedia、Qiita)。
中でもCVE-2016-6662については、LD_PRELOADを使った攻撃となっており、rootで動作しないはずのMySQLでroot権限を奪取でき、任意のコードを実行される危険性があるという(SECLISTS.ORG、legalhackers.com)。
mysqld_safeラッパースクリプトを使用せずsystemdで直接起動している場合は影響がないかもしれないし、どこかでラッパーを使用していて脆弱かもしれない。また、未公開のCVE-2016-6663を使うと容易にFILE権限が取れるという。
この脆弱性はMySQL5.7系、5.6系、5.5系の全バージョンにデフォルトの状態で存在するとのこと。この脆弱性自体は7月に発見されたもので、MySQLからフォークしたPerconaDBやMariaDBについては8月中に修正パッチがリリースされたが、MySQLについてはまだ修正パッチは公開されていない。Oracleは10月18日に公開する定例パッチでの対処を予定しているという。
急かす (スコア:0)
記事のタイトルをみんなで「オラクルのデータベースソフトに未修正の脆弱性」に揃えたら大急ぎで対応していただけるかな
Re:急かす (スコア:2, 参考になる)
どれほど深刻なバグであっても、有料契約無いとパッチ渡さんわ遅いわ別のバグ生むわのとこが、その程度で対応変わるとでも思います?
いや、EOLや旧世代品には要求せんよ。
Re: (スコア:0)
契約していない=EOL
Re:急かす (スコア:1)
よくわからないんだけど
https://www.percona.com/blog/2016/09/12/database-affected-cve-2016-6662/ [percona.com]
最新版で修正されてるみたいなのは違うのかしら
Re:急かす (スコア:1)
ストーリーのリンク先 [legalhackers.com]ではMaridDBとPerconaDBも影響を受けると書いてあって、よくわかりませんね。
MySQL clones are also affected, including:
MariaDB
PerconaDB
Re:急かす (スコア:1)
これってば
・Oracleは10月18日に公開する修正パッチで対応予定(であることを公表)
・しかしその修正前に発見者が詳細を公表
・なぜかというと「MariaDBなどのパッチでセキュリティ問題に言及している」から?
つまりMariaDBのパッチとかを見れば攻撃手法がわかってしまうから急いで公表したということかしら?
Re: (スコア:0)
ストーリーでリンクされているQiita [qiita.com]でも
(未検証) 5.5.52, 5.6.33, 5.7.15は影響を受けないかも知れません。
という記載がありますね(タレコミ後に追記された?)
Oracle叩きは不発に終わりそうですかね。アンチの皆様は次の機会をお楽しみにってところですか。
Re:急かす (スコア:1)
10月18日の定例パッチて、Solarisバンドル分をCritical Patch Updateで対応しますってことじゃ。
5.7.15は9月6日にリリースされてますね。
分裂したMariaは対応済みか (スコア:0, 参考になる)
サン・マイクロシステムズ経由でOracle傘下に入った段階で予想された事態だな
Re:分裂したMariaは対応済みか (スコア:1)
OpenOffice/LibreOfficeとまったく同じパターンで草生やすしかない
Re:分裂したMariaは対応済みか (スコア:1)
まあLibreOfficeへの移行はいいのですが、データベースはソフトウェアの依存があるのです。MySQLからMariaDBに移ろうにも、MySQLに依存したソフトウェアのベンダがMariaDBにも対応してくれないと互換性が気になって夜しか眠れないのです。
Re:分裂したMariaは対応済みか (スコア:1)
ベンダ「夜しか眠れないので対応しません」
Re: (スコア:0)
Oracleの社員「私は寝てないんだ!」
Re: (スコア:0)
今になって移行中ですorz