パスワードを忘れた? アカウント作成
12922088 story
セキュリティ

MySQLにパッチ未公開の深刻な脆弱性が見つかる、MariaDBなどでは修正済み 14

ストーリー by hylom
またOracleは 部門より
あるAnonymous Coward曰く、

MySQLに複数の深刻な脆弱性が発見されている(ITmediaQiita)。

中でもCVE-2016-6662については、LD_PRELOADを使った攻撃となっており、rootで動作しないはずのMySQLでroot権限を奪取でき、任意のコードを実行される危険性があるという(SECLISTS.ORGlegalhackers.com)。

mysqld_safeラッパースクリプトを使用せずsystemdで直接起動している場合は影響がないかもしれないし、どこかでラッパーを使用していて脆弱かもしれない。また、未公開のCVE-2016-6663を使うと容易にFILE権限が取れるという。

この脆弱性はMySQL5.7系、5.6系、5.5系の全バージョンにデフォルトの状態で存在するとのこと。この脆弱性自体は7月に発見されたもので、MySQLからフォークしたPerconaDBやMariaDBについては8月中に修正パッチがリリースされたが、MySQLについてはまだ修正パッチは公開されていない。Oracleは10月18日に公開する定例パッチでの対処を予定しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年09月13日 19時38分 (#3080640)

    記事のタイトルをみんなで「オラクルのデータベースソフトに未修正の脆弱性」に揃えたら大急ぎで対応していただけるかな

    • Re:急かす (スコア:2, 参考になる)

      by Anonymous Coward on 2016年09月14日 7時41分 (#3080832)

      どれほど深刻なバグであっても、有料契約無いとパッチ渡さんわ遅いわ別のバグ生むわのとこが、その程度で対応変わるとでも思います?
      いや、EOLや旧世代品には要求せんよ。

      親コメント
    • by Anonymous Coward on 2016年09月13日 20時33分 (#3080680)

      よくわからないんだけど
      https://www.percona.com/blog/2016/09/12/database-affected-cve-2016-6662/ [percona.com]
      最新版で修正されてるみたいなのは違うのかしら

      親コメント
      • by Anonymous Coward on 2016年09月13日 20時58分 (#3080697)

        ストーリーのリンク先 [legalhackers.com]ではMaridDBとPerconaDBも影響を受けると書いてあって、よくわかりませんね。

        MySQL clones are also affected, including:

        MariaDB
        PerconaDB

        親コメント
        • by Anonymous Coward on 2016年09月13日 21時12分 (#3080703)

          これってば
          ・Oracleは10月18日に公開する修正パッチで対応予定(であることを公表)
          ・しかしその修正前に発見者が詳細を公表
          ・なぜかというと「MariaDBなどのパッチでセキュリティ問題に言及している」から?
          つまりMariaDBのパッチとかを見れば攻撃手法がわかってしまうから急いで公表したということかしら?

          親コメント
      • by Anonymous Coward

        ストーリーでリンクされているQiita [qiita.com]でも

        (未検証) 5.5.52, 5.6.33, 5.7.15は影響を受けないかも知れません。

        という記載がありますね(タレコミ後に追記された?)

        Oracle叩きは不発に終わりそうですかね。アンチの皆様は次の機会をお楽しみにってところですか。

        • by Anonymous Coward on 2016年09月13日 21時39分 (#3080716)

          10月18日の定例パッチて、Solarisバンドル分をCritical Patch Updateで対応しますってことじゃ。
          5.7.15は9月6日にリリースされてますね。

          親コメント
  • by Anonymous Coward on 2016年09月13日 19時42分 (#3080642)

    サン・マイクロシステムズ経由でOracle傘下に入った段階で予想された事態だな

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...