360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
1 2 3 4
查看: 2952|回复: 0
打印 上一主题 下一主题

【漏洞公告】高危漏洞:MySQL/MariaDB/PerconaDB - 提权条件竞争漏洞

[复制链接]

823

主题

909

帖子

4623

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
4623
跳转到指定楼层
楼主
发表于 2016-11-16 09:23:32 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

亲!这问题您也搜索很久了吧?不如咨询下我们吧


613049616  613049616  613049616   613049616   613049616


背景
  2016年11月01日,国外安全研究员Dawid Golunski在 MySQl, MariaDB 和 PerconaDB 数据库中发现条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/INSERT/SELECT权限)账号提升权限到数据库系统用户(通常是’mysql’)执行任意代码,黑客可以成功利用此漏洞后,允许攻击者完全访问数据库。也有潜在风险通过(CVE-2016-6662 和 CVE-2016-6664漏洞)获取操作系统root权限。从而造成严重的安全风险。具体详情如下:
漏洞编号
CVE-2016-6663 、CVE-2016-5616
漏洞名称
MariaDB:< 5.5.52、< 10.1.18、< 10.0.28
MySQL:<= 5.5.51、<= 5.6.32、<= 5.7.14
Percona Server:< 5.5.51-38.2、< 5.6.32-78-1、< 5.7.14-8
Percona XtraDB Cluster:< 5.6.32-25.17、< 5.7.14-26.17、< 5.5.41-37.0
漏洞等级:高危漏洞危害:
该漏洞允许本地用户使用低权限(CREATE/INSERT/SELECT权限)账号提升权限到数据库系统用户(通常是’mysql’)执行任意代码。成功利用此漏洞,允许攻击者完全访问数据库,也可以潜在风险通过(CVE-2016-6662 和 CVE-2016-6664漏洞)获取操作系统root权限,从而导致数据泄露。
漏洞利用条件
通过远程利用方式获取本地权限后,再次利用该漏洞提权。
漏洞影响范围
MariaDB:< 5.5.52、< 10.1.18、< 10.0.28
MySQL:<= 5.5.51、<= 5.6.32、<= 5.7.14
Percona Server:< 5.5.51-38.2、< 5.6.32-78-1、< 5.7.14-8
Percona XtraDB Cluster:< 5.6.32-25.17、< 5.7.14-26.17、< 5.5.41-37.0
漏洞修复建议(或临时措施)
参考信息:


分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则


Archiver|手机版|小黑屋|360wzgj Inc. 百度统计

GMT+8, 2024-11-22 13:24 , Processed in 0.078022 second(s), 31 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表