Mokymai

Duomenų bazių valdymo sistemų „MySQL“ ir „MariaDB“ spraga

2016-09-15

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie kritinę duomenų bazių valdymo sistemų „MySQL“ ir „MariaDB“ spragą.

Spraga, gavusi CVE-2016-6662 numerį, leidžia tiek iš vietinio tinklo, tiek iš interneto atakuoti „MySQL“ programinį serverį ir gauti administratoriaus (angl. root) lygio prieigą. Pavojų mažina tai, kad piktavaliui reikalinga arba naudotojo lygmens prieiga prie duomenų bazės (t. y. naudotojo vardas ir slaptažodis), arba reikia papildomai atakuoti tinklinę programą ir gauti galimybę įterpti SQL kodą. Pavojų didina tai, kad išleistas spragą išnaudojančios programos (angl. exploit) prototipas, o spraga yra visose „MySQL“ atmainose (turima omenyje versijas 5.x). Spraga yra ir susijusiose programose: „MariaDB“ ir „Percona Server“.

Tarnybinių stočių apsaugos programų „SELinux“ ir „AppArmor“ taisyklės, naudojamos pagal nutylėjimą (angl. default), neapsaugo nuo atakos. Tik kai kurios „Linux“ atmainos jau turi reikiamų programinių paketų naujinius. Spraga pašalinta šiose programų versijose:

1) „MySQL“ 5.7.15, 5.6.33 ir 5.5.52;

2) „MariaDB“ 10.0.27 ir „Percona Server“ 5.7.14-7.


CERT-LT rekomenduoja:

1) Nedelsiant atnaujinti savo duomenų bazių valdymo sistemą.

2) Jei jūsų „Linux“ atmaina dar neturi reikiamo naujinio, stebėti pasirodančių naujinių sąrašą.

 

Daugiau informacijos:

1) http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html (anglų kalba)

2) https://security-tracker.debian.org/tracker/CVE-2016-6662 (anglų kalba)

Visi pranešimai