Исследователь из Польши, Давид Голунски (Dawid Golunski), обнаружил в MySQL сразу два критических 0-day бага. Проблемы распространяются на MySQL 5.7.15, 5.6.33 и 5.5.52, а также были актуальны для MariaDB и PerconaDB. Хотя некоторые разработчики уже выпустили исправления для найденных уязвимостей, Oracle патч пока не представила, а исследователь уже опубликовал proof-of-concept.
Голунски обнаружил баги CVE-2016-6662 и CVE-2016-6663 еще в июле 2016 года, однако у Oracle существует строгий график выпуска патчей. Так, обновление Oracle Critical Patch Update было выпущено 19 июля 2016 года, тогда как исследователь сообщил представителям компании о найденных проблемах 29 июля. Очевидно, исправление для двух критических проблем в MySQL будут выпущены 18 октября 2016 года, в составе следующего Critical Patch Update.
Разработчики PerconaDB и MariaDB, в свою очередь, уже устранили уязвимости в своих продуктах, и сообщили об этом в сопроводительной документации к новым релизам. Голунски пишет, что именно это побудило его раскрыть информацию о багах, хотя патч от Oracle еще не готов: информация об уязвимостях уже известна потенциальным злоумышленникам, так что скрывать подробности теперь нет смысла,
«Прошло более 40 дней с момента сообщения о проблемах, и патчи для них уже были упомянуты публично. Было принято решение раскрыть информацию об уязвимостях (с ограниченным proof-of-concept), чтобы предупредить пользователей об угрозе, пока производитель еще не представил следующий Critical Patch Update, что произойдет только в октябре», — пишет исследователь.
Пока Голунски обнародовал подробности только о проблеме CVE-2016-6662. Данный баг позволяет атакующему (удаленному или локальному) внедрить кастомные настройки в файлы конфигурации my.conf. Проблема актуальна только для MySQL-серверов, работающих с настройками по умолчанию, а триггером к срабатыванию проблемы послужит первый же рестарт БД, произведенный после осуществления атаки. Исследователь пишет, что атакующий, к примеру, может использовать SQL-инъекцию для доставки кода эксплоита. В итоге CVE-2016-6662 и работа скрипта mysqld_safe позволят злоумышленнику подменить файл my.conf и загрузить сторонний код, который будет выполнен с root-привилегиями. Все это приведет к полной компрометации сервера, при том атака сработает даже в том случае, если на сервере работает SELinux или защитный модуль ядра AppArmor Linux.
О проблеме CVE-2016-6663 Голунски пока рассказал мало. Он пишет, что второй баг является вариацией уязвимости CVE-2016-6662, а его эксплуатация тоже приводит к удаленному исполнению произвольного кода с привилегиями root-пользователя.
«Нераскрытая уязвимость позволит атакующему с легкостью создать файл /var/lib/mysql/my.cnf с произвольным содержимым, и FILE-привилегии не потребуются», — пишет Голунски.
В качестве временных мер защиты, пока разработчики Oracle не представили патч, исследователь рекомендует проверить, чтобы все файлы конфигурации MySQL на сервере принадлежали реальным mysql-пользователям, а также советует использовать root и самостоятельно создать файлы my.cnf, которые не будут использоваться.
Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.
Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.
Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.
«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.
«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
