释放双眼,带上耳机,听听看~!
安全专家DawidGolunski透露,在MySQL有一个关键漏洞MariaDB和perconadb可以完全控制服务器。漏洞影响MySQL,MariaDBPerconaDB会让攻击者完全控制服务器。漏洞可以被攻击者利用任意代码执行,和控制服务器。DawidGolunski本周公开
安全专家Dawid Golunski透露,在MySQL有一个关键漏洞MariaDB和perconadb可以完全控制服务器。
漏洞影响MySQL,MariaDB PerconaDB会让攻击者完全控制服务器。 漏洞可以被攻击者利用任意代码执行,和控制服务器。
Dawid Golunski本周公开的漏洞细节,包括概念验证利用有两个缺陷。
这两个漏洞影响MySQL 5.5.51,5.6.32和5.7.14,包括Percona Server和MariaDB。
第一个漏洞追踪为cve-2016-6663权限升级/竞态条件缺陷,一个本地攻击者可以利用它升级他的权限,执行任意代码。
漏洞可以让本地系统用户访问受影响的数据库上下文中的权限帐户(创建/插入/选择赠款)升级他们的权限和执行任意代码数据库系统用户(通常的 mysql ”)。 允许攻击者访问所有的数据库存储在数据库服务器的影响”。
Golunski发现攻击者可以完全控制服务器链接和其他权限漏洞缺陷( cve – 2016 – 6662和cve – 2016 – 6664)。
第二个漏洞Golunski是发现的权限升级缺陷,跟踪跟踪cve – 2016 – 6663,可以利用的竞态条件。
MySQL-based数据库包括MySQL,MariaDB和PerconaDB受到特权升级漏洞可以让攻击者获得mysql 系统用户进一步升级他们的权限系统根用户允许他们完全控制。 错误日志的漏洞源于不安全的文件处理和其他文件。
缺陷驻留在错误日志和其他文件的方式管理,错误。 日志文件执行不安全的文件操作可以被攻击者利用任意替换系统文件。
视频PoC即将发表在以下链接:
