Исследователь из Польши, Давид Голунски (Dawid Golunski), обнаружил в MySQL сразу два критических 0-day бага. Проблемы распространяются на MySQL 5.7.15, 5.6.33 и 5.5.52, а также были актуальны для MariaDB и PerconaDB. Хотя некоторые разработчики уже выпустили исправления для найденных уязвимостей, Oracle патч пока не представила, а исследователь уже опубликовал proof-of-concept.
Голунски обнаружил баги CVE-2016-6662 и CVE-2016-6663 еще в июле 2016 года, однако у Oracle существует строгий график выпуска патчей. Так, обновление Oracle Critical Patch Update было выпущено 19 июля 2016 года, тогда как исследователь сообщил представителям компании о найденных проблемах 29 июля. Очевидно, исправление для двух критических проблем в MySQL будут выпущены 18 октября 2016 года, в составе следующего Critical Patch Update.
Разработчики PerconaDB и MariaDB, в свою очередь, уже устранили уязвимости в своих продуктах, и сообщили об этом в сопроводительной документации к новым релизам. Голунски пишет, что именно это побудило его раскрыть информацию о багах, хотя патч от Oracle еще не готов: информация об уязвимостях уже известна потенциальным злоумышленникам, так что скрывать подробности теперь нет смысла.
«Прошло более 40 дней с момента сообщения о проблемах, и патчи для них уже были упомянуты публично. Было принято решение раскрыть информацию об уязвимостях (с ограниченным proof-of-concept), чтобы предупредить пользователей об угрозе, пока производитель еще не представил следующий Critical Patch Update, что произойдет только в октябре», — пишет исследователь.
Пока Голунски обнародовал подробности только о проблеме CVE-2016-6662. Данный баг позволяет атакующему (удаленному или локальному) внедрить кастомные настройки в файлы конфигурации my.conf. Проблема актуальна только для MySQL-серверов, работающих с настройками по умолчанию, а триггером к срабатыванию проблемы послужит первый же рестарт БД, произведенный после осуществления атаки. Исследователь пишет, что атакующий, к примеру, может использовать SQL-инъекцию для доставки кода эксплоита. В итоге CVE-2016-6662 и работа скрипта mysqld_safe позволят злоумышленнику подменить файл my.conf и загрузить сторонний код, который будет выполнен с root-привилегиями. Все это приведет к полной компрометации сервера, при том атака сработает даже в том случае, если на сервере работает SELinux или защитный модуль ядра AppArmor Linux.
О проблеме CVE-2016-6663 Голунски пока рассказал мало. Он пишет, что второй баг является вариацией уязвимости CVE-2016-6662, а его эксплуатация тоже приводит к удаленному исполнению произвольного кода с привилегиями root-пользователя.
«Нераскрытая уязвимость позволит атакующему с легкостью создать файл /var/lib/mysql/my.cnf с произвольным содержимым, и FILE-привилегии не потребуются», — пишет Голунски.
В качестве временных мер защиты, пока разработчики Oracle не представили патч, исследователь рекомендует проверить, чтобы все файлы конфигурации MySQL на сервере принадлежали реальным mysql-пользователям, а также советует использовать root и самостоятельно создать файлы my.cnf, которые не будут использоваться.
