JARVIS
Es wurden diverse Sicherheitslücken in den belibten Datenbanksystemen MySQL und MariaDB gefunden. Demnach sind alle MySQL Versionen in der Standardkonfiguration (5.7, 5.6, 5.5) davon betroffen. Die Lücken können sowohl remote als auch lokal auf dem Server ausgenutzt werden. Die größte Wahrscheinlichkeit ist durch eine Remote SQL Injection über ein CMS, WebShop oder z.B. phpMyAdmin. Details siehe unter CVE-2016-6662
Die Lücke ermöglicht einen Angreifer root Rechte.
Aus den Release Notes von MySQL 5.6.33:
- For mysqld_safe, the argument to –malloc-lib now must be one of the directories /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu. In addition, the –mysqld and –mysqld-version options can be used only on the command line and not in an option file. (Bug #24464380)
- It was possible to write log files ending with .ini or .cnf that later could be parsed as option files. The general query log and slow query log can no longer be written to a file ending with .ini or .cnf. (Bug #24388753)
- Privilege escalation was possible by exploiting the way REPAIR TABLE used temporary files. (Bug #24388746)
Oracle hat mit den MySQL Versionen 5.5.52, 5.6.33 und 5.7.15, reagiert und die Lücke geschlossen. MariaDB hat die Lücke in den Versionen 5.5.51, 10.1.17 und 10.0.27 geschlossen.
Wer seine Version nicht aktualisieren kann, oder keinen Neustart der Datenbankdienste durchführen kann, kann auch die Rchte auf die entsprechenden Dateien anpassen (keine Gewähr):
- die Konfigurationsdateien aus dem datadir entsprechend anpassen:
- leere my.cnf und .my.cnf im datadir erstellen (/var/lib/mysql) und root zum Owner mit Permissions 0644 machen
- selbes gilt für das !includedir Paths, die nicht durch den mysql User beschreibar sein sollten
- es sollte keine Konfigurationsdatei durch den User mysql beschreibbar sein (Besitzer und Rechte anpassen)
MySQL 5.5.52 Release Notes : https://dev.mysql.com/doc/relnotes/mysql/5.5/en/news-5-5-52.html
MariaDB Release Notes Overview: https://mariadb.com/kb/en/mariadb/release-notes/
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.