CVE-2016-6663 ช่องโหว่เจาะระบบฐานข้อมูลได้ทั้ง MySQL, MariaDB, และ Percona

นักวิจัยความปลอดภัย Dawud Golunski ได้รายการช่องโหว่ CVE-2016-6662 และ CVE-2016-6663 ในระบบฐานข้อมูลของ MySQL สาธิตวิธีการทำให้ผู้ใช้ที่มีสิทธิ์เพียงพื้นฐาน เช่น SELECT, INSERT, CREATE สามารถเข้ายึดเซิร์ฟเวอร์ฐานข้อมูลได้ทั้งหมด และมีโอกาสทีแฮกเกอร์จะรันโค้ดด้วยสิทธิ์ระดับเดียวกับเซิร์ฟเวอร์ของ MySQL ได้

ตอนนี้เซิร์ฟเวอร์ทั้งสามออกอัพเดตแล้ว (Oracle, MariaDB, Percona) ผู้ดูแลระบบที่ใช้งาน Databaseทั้งสามตัวนี้อ่านจบแล้ว Patch ด่วนครับ แต่ผู้ที่ยังไม่พร้อมจะอัพเดตสามารถเลี่ยงปัญหาด้วยการคอนฟิก symbolic-links = 0 ไว้ก่อนได้

ที่มา :
https://legalhackers.com/advisories/MySQL-Maria-Percona-PrivEscRace-CVE-2016-6663-5616-Exploit.html



Leave a Reply