最新MySQL資料庫漏洞情況通報_Mysql

近日，互連網上披露了關於MySQL資料庫存在代碼執行漏洞（ CNNVD-201609-183 ）的情況。由於MySQL資料庫預設配置存在一定缺陷，導致攻擊者可利用該漏洞對資料庫設定檔進行篡改，進而以管理員權限執行任意代碼，遠端控制受影響伺服器。目前，Oracle官方網站發布聲明將於10月發布關鍵補丁更新資訊。

一、漏洞簡介

Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關聯式資料庫管理系統。

MySQL資料庫中的設定檔（my.cnf）存在遠程代碼執行漏洞（漏洞編號：CNNVD-201609-183，CVE-2016-6662），以下版本受到該漏洞影響:MySQL 5.7.15及之前的版本，5.6.33及之前的版本，5.5.52及之前的版本。

CNNVD針對上述漏洞的利用原理進行梳理，總結如下：

MySQL服務在伺服器上擁有兩個進程，其中一個進程擁有管理員（root）許可權，另一個擁有普通使用者（MySQL）許可權。擁有管理員（root）許可權的進程可以載入並執行設定檔中所聲明的動態串連庫（so庫），並在特定檔案許可權下通過sql語句或使用添加觸發器等方法修改上述設定檔，造成在MySQL服務重啟時，具有管理員（root）許可權的進程載入並執行該動態串連庫，執行任意代碼，達到提升許可權的目的。

二、漏洞危害

攻擊者（本地或遠程）可通過正常訪問或惡意注入等手段，利用該漏洞對設定檔進行修改，從而以管理員權限執行任意代碼，完全控制受影響的伺服器。

2. 目前，使用MySQL核心的開來源資料庫MariaDB和PerconaDB受該漏洞影響，並於9月6日發布漏洞修複補丁。

三、修複措施

Oracle官方網站將於10月18日發布關鍵補丁更新，請可能受影響的使用者及時關注資訊，及時修複漏洞，消除隱患。

公告連結：http://www.oracle.com/technetwork/topics/security/alerts-086861.html

部署MySQL資料庫的使用者，應及時檢查所使用的MySQL版本是否在受影響範圍內。如受影響，可採取該緩解方案：關閉MySQL使用者file許可權。