你好,游客 登录 注册 搜索
背景:
阅读新闻

MySQL 远程代码执行漏洞(CVE-2016-6662)

[日期:2016-09-14] 来源:Linux社区  作者:Linux [字体: ]
MySQL 远程代码执行漏洞(CVE-2016-6662)


发布日期:2016-09-12
更新日期:2016-09-14

受影响系统:

Oracle MySQL Server <= 5.7.15
Oracle MySQL Server <= 5.6.33
Oracle MySQL Server <= 5.5.52

描述:


CVE(CAN) ID: CVE-2016-6662

Oracle MySQL Server是一个轻量的关系型数据库系统。

以默认方式进行配置的所有版本的MySQL服务器,涵盖5.7、5.6和5.5,包括最新版本存在SQL注入漏洞,此外,包括MariaDB和PerconaDB在内的MySQL分支也在影响范围内。攻击者既可以通过本地方式,也可以通过远程方式进行漏洞利用。该漏洞可以允许攻击者远程向MySQL配置文件(my.cnf)注入恶意的环境配置,从而导致以root权限执行任意代码。

<*来源:Dawid Golunski
 
  链接:http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
*>

建议:


厂商补丁:

Oracle
------
Oracle官方尚未发布补丁,作为暂时的缓解策略,MySQL用户应该做到以下两点:1、确保MySQL的配置文件不被MySQL用户所拥有;2、以root用户身份创建一个虚假my.cnf文件。

MySQL的两个分支MariaDB和PerconaDB已经发布了补丁,请升级到最新版本,下载地址分别如下:
https://mariadb.org/download/
https://www.percona.com/downloads/

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-09/135189.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款