技术文摘
当前位置:主页 > 技术文摘 >
每日安好资讯:【裂痕预警】MySQL现高危破绽可致服务器root权限被盗取
来源:本站 作者:king 浏览: 时间:1970-01-01 08:00

  上周,一位名叫Dawid Golunski的波兰黑客发现了生活于MySQL中的毛病:一个远程root代码践诺裂痕和一个权限提拔漏洞。其时,Golunski只需要了第一个缝隙的poc,然而愿意之后会出现第二个罅隙(CVE-2016-6663)的更多细节。

  本周二,Golunski公布了针对两个缺陷的PoC•:第一个PoC针对的是之前的高危权限擢升毛病,而另一个PoC针对的则是一个新的root权限晋升裂缝,诳骗这个破绽,冲击者恐怕获得到扫数数据库的权限。

  本周楬橥的两个裂缝中较为厉重的是比赛条款(race condition)裂缝,它或者让一个低权限账号(拥有CREATE/INSERT/SELECT权限)晋升权限而且以体例用户身份履行肆意代码。

  另一个破绽则是root权限晋升裂痕,这个毛病也许让占据MySQL体系用户权限的袭击者提拔权限至root,以便进一步抨击一共体系。

  导致这个问题的情由本来是情由MySQL对差错日志以及其我们文件的惩办缺乏安好,这些文件也许被替换成自便的体例文件,从而被利用来取得root权限。

  这个裂缝与前面提到的权限提拔罅隙合作应用风味更佳——黑客先行使权限晋升裂痕(CVE-2016-6663)把寻常用户擢升为系统用户,之后再诈欺root权限提升漏洞(CVE-2016-6664)进一步晋升为root用户。

  全部的这些缺陷都不妨在共享遭遇中应用。在共享碰着中,用户可能调查各自独自的数据库。而原委这些缺陷,黑客或许获取到所珍稀据库的权限•。

  大家强烈倡导站长们尽速装配补丁••,假如无法立即装配补丁,也不妨选取刹那的处罚安排——关合数据库处事器开发中的标记链接扶助(在中兴办symbolic-links = 0)。

币安网app官方下载
TEL:024-83863563

QQ 30999233@qq.com
地址: 沈阳市沈河区文化东路10号步阳国际大厦B1座11-28室

海风微信公众平台