MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響

攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在

[hevohevo]

なるほどMariaDBが対応完了したので、その修正パッチから脆弱性がわかってしまうので公開したのね。OracleのMySQLではは10月の定例パッチで予定とかたしかに遅すぎる。これでまたOracle離れが進む。

[koyhoge]

CVE-2016-6662読んだ。なるほどこれはでかい穴だ。MySQLのポートに直接接続できるケースはまれなので、被害は限定的だと思うけど。

[Lat]

公開の是非は別として、同時にパッチが出来ようされないと、MariaDBはMySQLのフォークだしパッチの内容から攻撃を推測されて悪用されることも考えられるからな。

[katzesh]

MySQL各最新版(9/6リリース)でgeneral logを拡張子.cnfで吐けなくする修正が入ってるからパッチが無いのは報告者の誤認だよ https://www.percona.com/blog/2016/09/12/database-affected-cve-2016-6662/

[lizy]

またOracle(MySQL)離れが進みそうだな

[orangehalf]

MariaDBのパッチからMySQLの脆弱性の内容を推定される可能性があるからOracleに対してパッチの公開を前倒しするようプレッシャーをかける目的なのかな

[hitorimisogi]

PostgreSQL最高！（業務でMySQL使ってます）

[rokujyouhitoma]

ベンダーの対応は時間かかって悪いけど、公開した研究者もなに公開しちゃってるの？ベンダーの対応待てよ

[masatomo-m]

ITMediaは元記事へのリンクをもうちょっと目立つところに置くべきだと思う。探してみたら記事下部の「関連リンク」という小さい所にあった。あとこの脆弱性はSQL Injectionとかの入り口がないと叩けないのでは？

[Falky]

『Oracleは10月18日に公開する定例パッチで対処を予定しているという。しかしOracleに報告してから40日が経過したことや、MariaDBなどのパッチでセキュリティ問題に言及していることから(中略)脆弱性情報の公開に踏み切った』

[y-kawaz]

確かに対応が遅いOracleも対応待たずに公表する研究者もアレだが、まー置いといて。そもそも鯖管の立場からしたら第三者がRDBに直接接続できる状態ってまず無いから、確認すれども心配は余りしていないんだが。多いん？

[rkajiyama]

本記事は誤報です。元の英語記事も修正されておりリリースされている最新版で対処済みです http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html

[kjtec]

様子見

[Vaduz]

CVE-2016-6662

[daybeforeyesterday]

うーむ

[miruto]

現状為す術なしとは(；´∀｀)

[eax]

WordPressで使っているMySQLはlocalhost限定にしておけば、この脆弱性による問題はあまり無いと思う。SQLを自由に投げれないと脆弱性の再現が出来ないみたいだし

[yamadar]

前提として任意のSQLが実行できる事（SQLインジェクション含む）なので、そこそこハードル高い。

[sh2]

MySQLも修正済みで、10/18のCritical Patch Updateでは既にある5.5.52/5.6.33/5.7.15以降に更新せよという情報が出るはずです。これが待てない重篤な脆弱性には別途Security Alertが出ます。 http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html

[dinoyupa]

パッチあるなら安心だ

[kazoo_oo]

Amazon RDS には影響ない、とのこと。https://forums.aws.amazon.com/thread.jspa?messageID=741339&threadID=239129&tstart=0

[kasanka]

ﾋｪｯ...

[tettekete37564]

頭痛いな

[YukeSkywalker]

10月とかありえんやろ。とっととパッチよこせ。

[zakinco]

うへぇ

[run30s]

やばみ（分かってない）

[fashi]

10/18ってずいぶん遅いとは思うけど待てなかったのか

[arisanta69]

もっと分かりやすく説明して！

[rryu]

set global general_log_file経由でmy.cnfに書き込めるのが問題なのならば、対応に時間がかかっているのはどう修正するのがいいのかが難しいからではないだろうか。そもそもそんなことができる時点で大分脆弱だし。

[skam666]

“攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性”

[mimesis]

"例え主要LinuxディストリビューションのセキュリティモジュールのSELinuxやAppArmorを実装していても、この脆弱性を悪用することは可能だという。"

[lyiase]

CVE-2016-6662か。調べたところ外部から攻撃できるケースはSQLインジェクションできる場合と直接接続できる場合に限られているね。とはいえ、Oracleは対応遅すぎ。

[bouzuya]

MySQLのroot権限で任意のコードが実行される可能性のある脆弱性を、Oracleは報告されてから40日を超えて放置。パッチ提供は10月を予定。PerconaDBおよびMariaDBのパッチは8月30日までに提供済。ふむー。

[Mu_KuP]

こいつはひでぇ…やはり彼処にOSS運営は無理だわなぁ。

[jyugeru_09]

ええ…

[kenzy_n]

キケンな穴

[mabots]

しかしOracleに報告してから40日が経過したことや、MariaDBなどのパッチでセキュリティ問題に言及していることから、研究者は危険性についてユーザーに周知を図るため、脆弱性情報の公開に踏み切ったと説明している。

[hpptms]

SQLインジェクションの対策しといたら、一応大丈夫ぽい？それでも対策版出してから発表してほしいけど

[calcan]

もちろん「mysqlが割れればそこからシステム割れる！」はよろしくはないんだけど…DB割られてる時点ですでに終わってるような。