Две критических уязвимости нулевого дня в MySQL: CVE-2016-6662 и CVE-2016-6663

Создана:

2016-11-16 13:06:47 UTC

Изменена:

2017-06-27 03:59:58 UTC

0

Помогла ли вам статья?


Есть вопросы?

Отправить запрос

Две критических уязвимости нулевого дня в MySQL: CVE-2016-6662 и CVE-2016-6663

Применимо к:

  • Plesk

Обзор

12 сентября 2016 года во второй в мире по популярности системе управления базами данных MySQL были обнаружены две критических уязвимости нулевого дня , которые могли позволить злоумышленнику полностью взять базу данных под свой контроль. Этим уязвимостям были присвоены идентификаторы CVE-2016-6662 и CVE-2016-6663.

Для успешного использования уязвимости CVE-2016-6662 удаленному пользователю MySQL необходимо иметь привилегии FILE и SUPER, тогда как по уязвимости CVE-2016-6663 на данный момент нет публично доступной информации.

Plesk предлагает пакеты MySQL 5.5 для операционных систем CentOS 5, RHEL 5 и CloudLinux 5 от Plesk в качестве дополнения к установке. Кроме того, на Windows Plesk позволяет установить двоичные файлы MySQL: MySQL 5.5 для данных Plesk и MySQL 5.6 (Plesk 12.5) или MySQL 5.1 (Plesk 12.0) для баз данных клиентов.

Эти пакеты не подвержены влиянию CVE-2016-6662, потому что Plesk создает учетные записи пользователей MySQL с нужными привилегиями, однако CVE-2016-6663 потенциально может на них повлиять.

Во всех остальных случаях Plesk использует собственный сервер MySQL , и системному администратору следует выполнить соответствующие действия.

Решение

  1. На Windows, а также на CentOS 5, RHEL 5 или CloudLinux 5 примените последние обновления:
    • Plesk 12.5.30: MU#47
    • Plesk 12.0.18: MU#91
    • Plesk 11.5.30: MU#55

          Важно: Для MySQL 5.1, установленного у клиентов на Plesk 12.0, обновления не будут применены. Пожалуйста, выберите какой-либо из вариантов:
      > a) обновить Plesk до 12.5 с переключением на MySQL 5.6

      > b) перенести данные на сервер Plesk 12.5

      > c) обновить вручную сервер MySQL, как описано в статье

      > d) использовать решение для снижения риска, описанное ниже в пункте **4.**
  2. Сообщество разработчиков уже подготовило необходимые патчи:

    • Исправления MariaDB ожидаются в версиях 5.5.51, 10.0.27 и 10.1.17

    • Исправления MySQL ожидаются в версиях 5.5.52, 5.6.33 и 5.7.15

  3. Пожалуйста, следите за устранением соответствующих неисправностей в вашей операционной системе и устанавливайте обновления по мере их выпуска:

  4. В настоящий момент для снижения риска возможных угроз безопасности можно выполнить следующее:

    a. Удостоверьтесь, что у вас нет пользователей MySQL с привилегиями FILE или SUPER:

    root@plesk:~# MYSQL_PWD=`cat /etc/psa/.psa.shadow` mysql -u admin mysql -e "SELECT User, Host FROM user WHERE User NOT IN ('admin', 'root') AND (File_priv='Y' or Super_priv='Y')"

    б. Воспользуйтесь рекомендацией исследователей этих уязвимостей – защитить файлы my.cnf files, а именно, убедиться, что ни один из конфигурационных файлов MySQL не принадлежит пользователю mysql, и создать псевдо-файлы my.cnf, которые принадлежат пользователю root и не используются. Хотя у конфигурационных файлов MySQL нет строго заданного пути, в большинстве случаев это либо "/etc/my.cnf" (RedHat/CentOS/CloudLinux), либо "/etc/mysql/my.cnf" (Debian/Ubuntu).

    • RedHat/CentOS/CloudLinux

      Проверьте права на конфигурацию по умолчанию (а именно root:root):

      root@plesk:~# ls -l /etc/my.cnf
      root@plesk:~# chown root:root /etc/my.cnf
      root@plesk:~# chmod 0644 /etc/my.cnf

      Создайте пустые файлы в других возможных папках:

      root@plesk:~# mkdir /etc/mysql
      root@plesk:~# touch /etc/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/.my.cnf
    • Debian/Ubuntu

      Проверьте права на конфигурацию по умолчанию (а именно root:root):

      root@plesk:~# ls -l /etc/mysql/my.cnf
      root@plesk:~# chown root:root /etc/mysql/my.cnf
      root@plesk:~# chmod 0644 /etc/mysql/my.cnf

      Создайте пустые файлы в других возможных папках:

      root@plesk:~# touch /etc/my.cnf
      root@plesk:~# touch /var/lib/mysql/my.cnf
      root@plesk:~# touch /var/lib/mysql/.my.cnf
    • MySQL 5.1 в Plesk 12.0 для Windows

      Используйте приложенный скрипт , чтобы защитить существующие конфигурационные файлы MySQL от записи. Или создайте пустые файлы my.cnf и my.ini с защитой от записи, которые будут иметь следующие пути по умолчанию:

      %PROGRAMDATA%\\MySQL\\MySQL Server 5.1\\my.ini 
      %PROGRAMDATA%\\MySQL\\MySQL Server 5.1\\my.cnf
      %WINDIR%\\my.ini
      %WINDIR%\\my.cnf
      C:\\my.ini
      C:\\my.cnf
      BASEDIR\\my.ini
      BASEDIR\\my.cnf

Примечание. BASEDIR означает наименование пути к основной папке MySQL.

Вложения:

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 1
Еще есть вопросы? Отправить запрос
Войдите в службу, чтобы оставить комментарий.