В СУБД MySQL обнаружены две критические уязвимости, чреватые исполнением произвольного кода, повышением привилегий до уровня root, а также компрометацией сервера. Эти бреши актуальны для выпусков MySQL до 5.5.51, 5.6.32, 5.7.14 включительно и для форков Percona Server и MariaDB. Детали новых уязвимостей в MySQL вместе с PoC-эксплойтами опубликовал на прошлой неделе Давид Голунский (Dawid Golunski) из сообщества Legal Hackers.

Наиболее серьезен из них баг повышения привилегий/состояния гонки (CVE-2016-6663). Его эксплойт позволяет локальному пользователю с доступом к базе данных исполнить произвольный код с правами system, после чего он сможет успешно проникнуть во все базы данных на уязвимом сервере. Более того, скомбинировав данную уязвимость с другой брешью повышения привилегий вроде раскрытой Голунским в сентябре или только что опубликованной (см. ниже), атакующий сможет повысить права до уровня root и полностью скомпрометировать сервер. Исследователь предупреждает, что CVE-2016-6663 можно с успехом эксплуатировать в условиях совместного хостинга, а также в том случае, если автор атаки обладает доступом к системе с минимальными правами.

Вторая уязвимость повышения привилегий, CVE-2016-6664, как уже говорилось, может быть использована в связке с предыдущей. Кроме MySQL ей подвержены все текущие релизы MariaDB, а также некоторые сборки Percona Server и Percona XtraDB Cluster. Данная брешь вызвана небезопасной обработкой журналов ошибок и других файлов и при наличии прав system, обретенных, к примеру, путем эксплойта CVE-2016-6663, позволяет повысить их до root.

«Комбинация из обеих уязвимостей эффективно позволит непривилегированным пользователям базы данных повысить свои права в системе до root и полностью скомпрометировать сервер, что усугубляет проблему», — пишет Голунский.

В интервью Threatpost исследователь отметил, что в СУБД и ее производных обе уязвимости по большей части уже устранены. Так, разработчики MySQL и Percona выпустили патчи сразу после получения отчета. В MariaDB пропатчена лишь CVE-2016-6663. В ответ на запрос Threatpost о комментарии представитель проекта заявил следующее:

«Поясняем: эксплуатация CVE-2016-6664 требует наличия другой уязвимости. Поскольку CVE-2016-6663 закрыта, в MariaDB не осталось уязвимостей, известных как эксплуатируемые. Мы планируем пропатчить CVE-2016-6664 в следующем релизе».

Голунский впервые предупредил команду MySQL о бреши CVE-2016-6663 в сентябре, тогда же, когда раскрыл CVE-2016-6662, которую участники проекта пропатчили, не информируя особо баг-хантера. Все подобные заплатки Oracle обычно включает в свои ежеквартальные выпуски; патчи для CVE-2016-6663 и CVE-2016-6664 (под идентификаторами CVE-2016-5616 и CVE-2016-5617 соответственно) содержатся в октябрьском наборе. Голунский опубликовал видеоролик с демонстрацией PoC-эксплойта на трех затронутых СУБД и призывает пользователей непременно произвести обновление.

Категории: Главное, Уязвимости