MySQL távoli root / privilégium-szint emelés 0day

 ( trey | 2016. szeptember 14., szerda - 10:01 )

Dawid Golunski egy súlyos, távolról kihasználható sebezhetőséget fedezett fel a MySQL-ben. A távoli támadó a hibát kihasználva root jogot szerezhet az áldozat rendszerén. Érintett verziók:

MySQL  <= 5.7.15       Remote Root Code Execution / Privilege Escalation (0day)
	  5.6.33
 	  5.5.52

MySQL clones are also affected, including:

MariaDB
PerconaDB 

A probléma a CVE-2016-6662 azonosítót kapta. Részletek a figyelmeztetőben és a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A debian stable-update-ek még nem jöttek ki, sajnos: https://security-tracker.debian.org/tracker/CVE-2016-6662

Emiatt mindenféle kerülő megoldásokat kezdtek el alkalmazni a hozzám hasonló aggodalmaskodók: https://www.psce.com/blog/2016/09/12/how-to-quickly-patch-mysql-server-against-cve-2016-6662/

Hat en nem neveznem RCE-nek azt a sebezhetoseget, amihez adminisztratori sql hozzaferes (SUPER) szukseges (sql injection nem jatszik)

Elolvastad a legalhackers-es doksit? 3-féle exploit technológiát ír le, ebből csak az egyikhez adta meg a kész eszközt.

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

ha tényleg elolvastad, a másik kettő ugyan azt a felületet használja ki... ha elolvastad ;)


// Happy debugging, suckers
#define true (rand() > 10)

Elég lehet a FILE privilégium is szerintem, bár normális esetben az se kellene, hogy minnapos legyen, de tele a net egyébként GRANT ALL engedélyekkel telepített webalkalmazásokkal, úgyhogy az SQL injection is erősen játszik... ;)

Az SQL injection szerintem azert nem jatszik, mert eventeket kell letrehozni, ami sql injectionnel eleg nehez: az altalam probalt programnyelvek (php, python) alapbol tiltjak a multi-queryt tehat nem tudsz ;-t injectalva egy teljesen masik parancsot futtatni.

nem értem mi ez a nagy hype a sérülékenység körül. elolvasták vajon az emberek a POC leírást? rossz config owner, super jogok, syntax error-os conf lesz, kell hozzá mysql reboot... azért ez nem egy általános felállás szerintem

vihar a biliben, semmi több


// Happy debugging, suckers
#define true (rand() > 10)

Azert az nem tul szep dolog hogy MariaDB 5.5.51-et augusztus 10-en adtak ki (ez a verzio mar javitott), es a mai napon (konkretan tobb mint 1 honappal kesobb) Ubuntu 14.04 LTS meg mindig 5.5.49-re mondja azt hogy a legfrissebb.
Tudom, tudom, hasznaljam az official repo-t, de az ubuntu ha 40 napig keptelen frissiteni egy meglehetosen fontos csomagot akkor vegye ki a sajat repojukbol a mariadb-t es mondja azt hogy telepitsd kulso repobol.
Minden ilyen alkalommal ujra es ujra radobbenek hogy miert imadom a FreeBSD-t es a ports tree-jet.

Az Ubuntu nem nyujt hivatalos tamogatast a universe-hez. Bovebben lasd security FAQ

Az Ubuntu alatt nem csak a ceget ertem hanem a community-t is.
Sehol nem latok arra mentseget hogy egy remote root exploit-os, meglehetosen elterjedt csomagot 40 nap alatt nem sikerult frissiteni.

FYI: a changelog alapjan 14-en megerkezett az 5.5.52-es verzio a trusty-hoz, szoval mire megirtad a hozzaszolasod, mar elerheto volt. Ha nem tetszik a karbantarto sebessege, akkor lehet neki segiteni, errol szol a community, nem arrol, hogy csak kovetelozunk.