MySQL und MariaDB Security Update wegen Remote oder Local Injection

Es wurden diverse Sicherheitslücken in den belibten Datenbanksystemen MySQL und MariaDB gefunden. Demnach sind alle MySQL Versionen in der Standardkonfiguration (5.7, 5.6, 5.5) davon betroffen. Die Lücken können sowohl remote als auch lokal auf dem Server ausgenutzt werden. Die größte Wahrscheinlichkeit ist durch eine Remote SQL Injection über ein CMS, WebShop oder z.B. phpMyAdmin. Details siehe unter CVE-2016-6662

Die Lücke ermöglicht einen Angreifer root Rechte.

Aus den Release Notes von MySQL 5.6.33:

  • For mysqld_safe, the argument to –malloc-lib now must be one of the directories /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu. In addition, the –mysqld and –mysqld-version options can be used only on the command line and not in an option file. (Bug #24464380)
  • It was possible to write log files ending with .ini or .cnf that later could be parsed as option files. The general query log and slow query log can no longer be written to a file ending with .ini or .cnf. (Bug #24388753)
  • Privilege escalation was possible by exploiting the way REPAIR TABLE used temporary files. (Bug #24388746)

Oracle hat mit den MySQL Versionen 5.5.52, 5.6.33 und 5.7.15, reagiert und die Lücke geschlossen. MariaDB hat die Lücke in den Versionen 5.5.51, 10.1.17 und 10.0.27 geschlossen.

Wer seine Version nicht aktualisieren kann, oder keinen Neustart der Datenbankdienste durchführen kann, kann auch die Rchte auf die entsprechenden Dateien anpassen (keine Gewähr):

  • die Konfigurationsdateien aus dem datadir entsprechend anpassen:
    • leere my.cnf und .my.cnf im datadir erstellen (/var/lib/mysql) und root zum Owner mit Permissions 0644 machen
    • selbes gilt für das !includedir Paths, die nicht durch den mysql User beschreibar sein sollten
    • es sollte keine Konfigurationsdatei durch den User mysql beschreibbar sein (Besitzer und Rechte anpassen)

MySQL 5.5.52  Release Notes : https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-52.html

MariaDB Release Notes Overview: https://mariadb.com/kb/en/mariadb/release-notes/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.