关于MySQL CVE-2016-6662代码执行漏洞安全公告

360网站管家

近日著名开源数据库MySQL被曝存在远程代码执行和本地权限提升的漏洞，代码编号：CVE-2016-6662，攻击者可利用一个具备有File权限的MySQL普通用户实现Root权限提升，进而控制服务器。

       为了防止您的系统被外部黑客攻击，对业务造成危害，我们建议您检查自身受影响情况并开展必要的修复，防止被攻击者利用。

漏洞详情如下：

【漏洞描述】

    MySQL中的日志功能设置不当，导致外部攻击者能够以一个低权限普通MySQL账号，通过修改 my.cnf 文件达到运行任意代码的目的。

   

【漏洞危害】

    漏洞危害：攻击者仅需有FILE权限即可实现ROOT提权，进而控制服务器。

【影响版本】

    MySQL  <= 5.7.15

              <= 5.6.33

              <= 5.5.52

    Mysql分支版本也受影响,包括：

    MariaDB

    PerconaDB

   

【修复建议】

    MariaDB和PerconaDB已经发布补丁修复漏洞，MySQL官方暂未发布补丁，预计到10月18日左右将进行发布，在此之前，我们的临时修复建议如下：

    1、修改当前MySQL所有用户密码为复杂密码；

    2、检查MySQL存在FILE文件访问权限的账户列表，关闭用户FILE权限，操作如下：

    3、关注官方补丁发布，发布后建议立即进行升级操作。

【漏洞参考】

    http://seclists.org/oss-sec/2016/q3/481

    http://legalhackers.com/advisori ... -CVE-2016-6662.html