Dawud Golunski นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ race condition ในระบบฐานข้อมูลของ MySQL ทำให้ผู้ใช้ที่มีสิทธิ์เพียงพื้นฐาน เช่น SELECT, INSERT, CREATE สามารถเข้ายึดเซิร์ฟเวอร์ฐานข้อมูลได้ทั้งหมด และมีโอกาสทีแฮกเกอร์จะรันโค้ดด้วยสิทธิ์ระดับเดียวกับเซิร์ฟเวอร์ของ MySQL ได้
Golunski เคยรายงานช่องโหว่ CVE-2016-6662 เมื่อเดือนกันยายนที่ผ่านมา
ตอนนี้เซิร์ฟเวอร์ทั้งสามออกอัพเดตแล้ว (Oracle, MariaDB, Percona) แต่ผู้ที่ยังไม่พร้อมจะอัพเดตสามารถเลี่ยงปัญหาด้วยการคอนฟิก symbolic-links = 0
ที่มา - The Register, Legal Hackers
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
เมื่อวานก็หาว่าทำไมไม่มี update ลืมดูเวอร์ชั่นที่มีผล
MariaDB
< 5.5.52
< 10.1.18
< 10.0.28
MySQL
<= 5.5.51
<= 5.6.32
<= 5.7.14
Percona Server
< 5.5.51-38.2
< 5.6.32-78-1
< 5.7.14-8
Percona XtraDB Cluster
< 5.6.32-25.17
< 5.7.14-26.17
< 5.5.41-37.0
เพราะดูใน change log ก็ไม่เจอ patch แก้ CVE-2016-6663
ดังนั้นถ้า patch แก้ CVE-2016-6662 ไปแล้วก็จะไม่เป็นไรแล้ว