В системе управления базами данных (СУБД) MySQL обнаружены две критические уязвимости, чреватые исполнением произвольного кода, повышением привилегий до уровня root, а также компрометацией сервера.
Эти бреши актуальны для выпусков MySQL до 5.5.51, 5.6.32, 5.7.14 включительно и для форков Percona Server и MariaDB. Детали новых уязвимостей в MySQL вместе PoC-эксплойтами опубликовал на прошлой неделе Давид Голунский (Dawid Golunski) из сообщества Legal Hackers.
Наиболее серьезен из них баг повышения привилегий/состояния гонки (CVE-2016-6663). Его эксплойт позволяет локальному пользователю с доступом к базе данных исполнить произвольный код с правами system, после чего он сможет успешно проникнуть во все базы данных на уязвимом сервере. Более того, скомбинировав данную уязвимость с другой брешью повышения привилегий вроде раскрытой Голунским в сентябре или только что опубликованной (см. ниже), атакующий сможет повысить права до уровня root и полностью скомпрометировать сервер.
Исследователь предупреждает, что уязвимость CVE-2016-6663 можно с успехом эксплуатировать в условиях совместного хостинга, а также в том случае, если автор атаки обладает доступом к системе с минимальными правами.
Вторая уязвимость повышения привилегий, CVE-2016-6664, как уже говорилось, может быть использована в связке с предыдущей. Кроме MySQL, ей подвержены все текущие релизы MariaDB, а также некоторые сборки Percona Server и Percona XtraDB Cluster. Данная брешь вызвана небезопасной обработкой журналов ошибок и других файлов и при наличии прав system, обретенных, к примеру, путем эксплойта CVE-2016-6663, позволяет повысить их до root.
«Комбинация из двух уязвимостей эффективно позволит непривилегированным пользователям базы данных повысить свои права в системе до root и полностью скомпрометировать сервер, что усугубляет проблему», – пишет Голунский. В интервью исследователь отметил, что в СУБД и ее производных обе уязвимости по большей части уже устранены. Так, разработчики MySQL и Percona выпустили патчи сразу после получения отчета. В MariaDB пропатчена лишь CVE-2016-6663.
В ответ на запрос о комментарии представитель проекта заявил следующее: «Поясняем, эксплуатация CVE-2016-6664 требует наличия другой уязвимости. Поскольку CVE-2016-6663 закрыта, в MariaDB не осталось уязвимостей, известных как эксплуатируемые. Мы планируем пропатчить CVE-2016-6664 в следующем релизе». Голунский впервые предупредил команду MySQL о бреши CVE-2016-6663 в сентябре, тогда же, когда раскрыл CVE-2016-6662, которую участники проекта пропатчили, не информируя особо эксперты.
Все подобные заплатки Oracle обычно включает в свои ежеквартальные выпуски; патчи для CVE-2016-6663 и CVE-2016-6664 (под идентификаторами CVE-2016-5616 и CVE-2016-5617, соответственно) содержатся в октябрьском наборе. Голунский опубликовал видеоролик с демонстрацией PoC-эксплойта на трех затронутых СУБД и призывает пользователей непременно произвести обновление.
