Vulnerabilidades CVE-2016-6662 y CVE-2016-6663 "zero day" críticas de MySQL

Created:

2016-11-16 13:06:47 UTC

Modified:

2017-05-11 13:34:40 UTC

0

Was this article helpful?


Have more questions?

Enviar una solicitud

Vulnerabilidades CVE-2016-6662 y CVE-2016-6663 "zero day" críticas de MySQL

Información general

El lunes 12 de setiembre del 2016 se comunicó la existencia de dos vulnerabilidades "zero day" críticas en MySQL, el segundo software de gestión de bases de datos más popular del mundo, que podría permitir a un atacante tener un control absoluto sobre la base de datos. A estas vulnerabilidades se les asignó el CVEID CVE-2016-6662 y CVE-2016-6663.

En el caso de CVE-2016-6662, para aprovecharse de esta vulnerabilidad es necesario que el usuario remoto de MySQL disponga de privilegios FILE y SUPER, mientras que en el caso de CVE-2016-6663 no se ha realizado ninguna declaración pública.

Plesk ofrece MySQL 5.5 paquetizado para CentOS 5, RHEL 5 y CloudLinux 5 por el equipo de Plesk como instalación opcional. Asimismo, en el caso de plataformas Windows , Plesk instala ejecutables de MySQL: MySQL 5.5 para los datos de Plesk y MySQL 5.6 (Plesk 12.5) o MySQL 5.1 (Plesk 12.0) para las bases de datos de los clientes.

Estos paquetes no se ven afectados por CVE-2016-6662, ya que Plesk crea usuarios de MySQL con los privilegios apropiados, lo que no es el caso de CVE-2016-6663.

En todos los demás casos, se usa el servidor MySQL del sistema y el administrador del sistema deberá efectuar las acciones correspondientes.

Resolución

  1. Si ejecuta Plesk en Windows o en plataformas CentOS 5, RHEL 5 o CloudLinux 5, aplique las actualizaciones más recientes:
  2. Plesk 12.5.30: MU#47
  3. Plesk 12.0.18: MU#91

        IMPORTANTE: en el caso de los clientes de MySQL 5.1 en Plesk 12.0, no se publicará ninguna actualización. Considere una de las siguientes opciones posibles:
    > a) Actualizar a Plesk 12.5 cambiando a MySQL 5.6

    > b) Migrar los datos a un servidor Plesk 12.5

    > c) Actualizar el servidor MySQL de forma manual tal y como se describe [en este artículo](/es/124139)

    > d) Aplicar la solución provisional descrita en el punto **4.** a continuación
  4. Plesk 11.5.30: próximamente se publicará la actualización pertinente

  5. Los miembros de la comunidad ya han preparado los parches necesarios:

  6. Se prevé que la corrección para MariaDB se incluirá en las versiones 5.5.51, 10.0.27 y 10.1.17

  7. Se prevé que la corrección para MySQL se incluirá en las versiones 5.5.52, 5.6.33 y 5.7.15.

  8. Es sumamente recomendable efectuar un seguimiento de los errores correspondientes en el sistema del proveedor e instalar las actualizaciones cuando estas sean publicadas:

  9. RedHat

  10. Debian
  11. Ubuntu
  12. SuSE

  13. Como solución provisional y con el fin de mitigar posibles amenazas de seguridad:

    a. Verifique que no existe ningún usuario de MySQL con privilegiods FILE o SUPER:

    root@plesk:~# MYSQL_PWD=`cat /etc/psa/.psa.shadow` mysql -u admin mysql -e "SELECT User, Host FROM user WHERE User NOT IN ('admin', 'root') AND (File_priv='Y' or Super_priv='Y')"

    b. Siga las recomendaciones para proteger los archivos my.cnf - con el fin de garantizar que el usuario de MySQL no dispone de ningún archivo config de MySQL y crear archivos fictícios root-owned my.cnf que no se utilicen. Si bien MySQL no dispone de ninguna ubicación definida de forma estricta para su archivo de configuración, en la mayoría de los casos suele ser "/etc/my.cnf" (RedHat/CentOS/CloudLinux) o "/etc/mysql/my.cnf" (Debian/Ubuntu).

    • RedHat/CentOS/CloudLinux

      Compruebe los permisos en el config predeterminado (deberían ser root:root):

      root@plesk:~# ls -l /etc/my.cnf
      root@plesk:~# chown root:root /etc/my.cnf
      root@plesk:~# chmod 0644 /etc/my.cnf

      Cree archivos vacíos en otra de las ubicaciones posibles:

      root@plesk:~# mkdir /etc/mysql
      root@plesk:~# touch /etc/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/.my.cnf
    • Debian/Ubuntu

      Compruebe los permisos en el config predeterminado (deberían ser root:root):

      root@plesk:~# ls -l /etc/mysql/my.cnf
      root@plesk:~# chown root:root /etc/mysql/my.cnf
      root@plesk:~# chmod 0644 /etc/mysql/my.cnf

      Cree archivos vacíos en otra de las ubicaciones posibles:

      root@plesk:~# touch /etc/my.cnf
      root@plesk:~# touch /var/lib/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/.my.cnf
    • MySQL 5.1 en Plesk 12.0 para Windows

      Use el script adjunto para proteger los archivos de configuración de MySQL existentes frente a posibles escrituras. Asimismo, también puede crear manualmente archivos my.cnf y my.ini vacíos protegidos frente a escritura en las ubicaciones predeterminadas:

      %PROGRAMDATA%\\MySQL\\MySQL Server 5.1\\my.ini 
      %PROGRAMDATA%\\MySQL\\MySQL Server 5.1\\my.cnf
      %WINDIR%\\my.ini
      %WINDIR%\\my.cnf
      C:\\my.ini
      C:\\my.cnf
      BASEDIR\\my.ini
      BASEDIR\\my.cnf

Importante: BASEDIR representa los nombres de ruta del directorio base de MySQL.

Attachments:

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.