Критическая root-уязвимость в MySQL

Опубликованы сведения о критической уязвимости (CVE-2016-6662) в MySQL и производных продуктах, таких как MariaDB и Percona Server. Уязвимость позволяет локально или удалённо атаковать сервер MySQL и повысить свои привилегии до пользователя root.
Смягчает опасность то, что для эксплуатации требуется аутентифицированный доступ к БД или проведение дополнительной атаки на web-приложения, в результате которой необходимо получить возможность подстановки SQL-кода. Усугубляет проблему то, что опубликован начальный прототип эксплоита (полный эксплоит планируется опубликовать позднее, дав время на выпуск обновления), в то время как сама уязвимость проявляется во всех ветках MySQL. Проблема устранена в выпусках MySQL 5.7.15, 5.6.33 и 5.5.52, а также в MariaDB 10.0.27 и Percona Server 5.7.14-7. Обновления пакетов с прошлыми версиями mysql/mariadb в дистрибутивах пока не выпущены (Ubuntu, Debian, RHEL, FreeBSD, CentOS, Fedora, SUSE). Применяемые по умолчанию правила SELinux и AppArmor не влияют на результаты атаки.
Сама по себе выявленная уязвимость позволяет любому пользователю СУБД с правами на выполнение операций SELECT/FILE (без прав FILE можно обойтись, но информация об обходе будет опубликована позднее под CVE-2016-6663) получить доступ к функциям работы с логами, которые должны быть доступны только пользователю admin. Через манипуляции с функциями записи в лог атакующий может изменить или создать файл конфигурации my.cnf. Если для файла my.cnf запрещена запись от пользователя mysql, то атакующий может создать новый файл в директории с данными (/var/lib/mysql), которая по умолчанию допускает запись для пользователя mysql.
Возможность выполнения кода с правами root достигается через добавление к конфигурацию конструкции, загружающей подставную библиотеку при очередном перезапуске mysql. В частности, процесс mysqld работает от непривилерованного пользователя, но при запуске используется скрипт mysqld_safe с правами root. В mysqld_safe среди прочего можно загрузить альтернативную библиотеку с реализацией функций malloc. Имя библиотеки передаётся через параметр "malloc_lib/--malloc-lib=LIB", который может быть определён в секциях
'[mysqld]' и '[mysqld_safe]' файла конфигурации my.cnf. Таким образом, атакующий, имеющий возможность записи в my.cnf, может инициировать загрузку любой библиотеки с правами root.
Интересно, что атака через правку
my.cnf не нова и в 2003 году уже исправлялась в выпуске 3.23.55 (эксплуатация сводилась к выполнению "SELECT * INFO OUTFILE '/var/lib/mysql/my.cnf'). Новая атака позволяет использовать функции записи в лог, например:
"set global general_log_file = '/var/lib/mysql/my.cnf'; set global general_log = on; select 'malloc_lib=/var/lib/mysql/mysql_hookandroot_lib.so'; set global general_log = off;".
Stfw.Ru
Читайте также



Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

15:10 Штрафовать нельзя помиловать. Верховный суд признал абсолютно законным пользование транзитным авто на еврономерах


15:10 В США рожать перестали даже чёрные и латиноамериканцы: власти бьют тревогу


15:10 Официально представлен смартфон Oppo R15X


14:10 Смартфон Google Pixel 3 XL в тестах JerryRigEverything в целом показал себя лучше предшественника, но его задняя панель легко царапается


14:10 Associated Press: коалиция в Сирии заявила, что нанесла удары по мечети, поскольку в ней были боевики


13:10 Грядущий флагманский смартфон OnePlus 6T показал свои возможности в ночной съемке


13:10 Власти Китая снизят налоги для населения, чтобы стимулировать рост экономики


13:10 Защищенные новинки от Ulefone и Blackview уже доступны для заказа!


12:10 Обзор Wi-Fi Mesh-системы TP-Link Deco M5


12:10 «Для всех, даром». Илон Маск назвал дату открытия первого туннеля The Boring Company в Лос-Анджелесе


12:10 Релиз Windows 10 1809 стоит ждать на этой неделе и новая проблема обновления


11:10 Новое 65-ваттное зарядное устройство Xiaomi ZMI 65W USB на три порта (два USB-A и один USB-C) оценивается всего в $22


11:10 В патенте Samsung изображён безрамочный смартфон с вырезом и подэкранным сканером отпечатков пальцев, срабатывающим в любом месте [+ концептуальный рендер Galaxy S10+]


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.