關于MySQL資料庫漏洞情況的通報

本文講的是 關于MySQL資料庫漏洞情況的通報，近日，網際網路上披露了關于MySQL資料庫存在代碼執行漏洞（CNNVD-201609-183）的情況。由于MySQL資料庫預設配置存在一定缺陷，導緻攻擊者可利用該漏洞對資料庫配置檔案進行篡改，進而以管理者權限執行任意代碼，遠端控制受影響伺服器。目前，Oracle官方網站釋出聲明将于10月釋出關鍵更新檔更新資訊。

一、漏洞簡介

Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系資料庫管理系統。

MySQL資料庫中的配置檔案（my.cnf）存在遠端代碼執行漏洞（漏洞編号：CNNVD-201609-183，CVE-2016-6662），以下版本受到該漏洞影響:MySQL 5.7.15及之前的版本，5.6.33及之前的版本，5.5.52及之前的版本。

CNNVD針對上述漏洞的利用原理進行梳理，總結如下：

MySQL服務在伺服器上擁有兩個程序，其中一個程序擁有管理者（root）權限，另一個擁有普通使用者（MySQL）權限。擁有管理者（root）權限的程序可以加載并執行配置檔案中所聲明的動态連接配接庫（so庫），并在特定檔案權限下通過sql語句或使用添加觸發器等方法修改上述配置檔案，造成在MySQL服務重新開機時，具有管理者（root）權限的程序加載并執行該動态連接配接庫，執行任意代碼，達到提升權限的目的。

二、漏洞危害

攻擊者（本地或遠端）可通過正常通路或惡意注入等手段，利用該漏洞對配置檔案進行修改，進而以管理者權限執行任意代碼，完全控制受影響的伺服器。

目前，使用MySQL核心的開源資料庫MariaDB和PerconaDB受該漏洞影響，并于9月6日釋出漏洞修複更新檔。

三、修複措施

Oracle官方網站将于10月18日釋出關鍵更新檔更新，請可能受影響的使用者及時關注資訊，及時修複漏洞，消除隐患。

部署MySQL資料庫的使用者，應及時檢查所使用的MySQL版本是否在受影響範圍内。如受影響，可采取該緩解方案：關閉MySQL使用者file權限。

本報告由CNNVD技術支撐機關—北京奇虎科技有限公司（安全客）、漏洞盒子提供支援。

CNNVD将繼續跟蹤上述漏洞的相關情況，及時釋出相關資訊。如有需要，可與CNNVD及時聯系。

原文釋出時間為： 九月 13, 2016

本文作者：aqniu

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。