Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Des failles 0day mettent à mal MySQL et il faudra patienter à poil dans la neige encore un mois avant d'avoir un correctif

#1

Originally published at: http://korben.info/failles-0day-mettent-a-mal-mysql-faudra-patienter-a-poil-neige-mois-davoir-correctif.html
Edit : Le coup de pression de Dawid Golunski semble avoir fonctionné puisque MySQL 5.5.52, 5.6.33, 5.7.15 sont patchés. Alors là c’est craignos puisque 2 failles 0day assez critiques viennent d’être découvertes dans MySQL. CVE-2016-6662 et CVE-2016-6663 permettraient à un attaquant de prendre le contrôle total de la base de données, et cela, peu importe la version de MySQL (5.7, 5.6,…

0 Likes

#2

Une fois de plus Oracle se fait remarquer par son manque de réactivité, pour ne pas dire son mépris des clients. Pitoyable !

1 Like

#3

Oui enfin faut relativiser. Pour que l’exploit fonctionne il faut :

  • Avoir accès à mysql
  • Avoir pu envoyer un binaire sur le serveur
  • Etre en mesure de faire rebooter le serveur ou mysql.

Les 2 premiers points me semble déjà délicats à obtenir.

1 Like

#4

Ca craint pour les hébergeurs web :/.

0 Likes

#5

Au passage je viens de tester, il faut aussi que l’user mysql soit propriétaire du fichier /etc/mysql/my.cnf. Si c’est l’user root (comme défini par défaut dans le package debian de base) ça ne fonctionne pas.

EDIT : Même sans accès aux fichiers du serveur, le script python upload la librairie dynamique dans un répertoire et s’occupe de bind la config mysql à ce fichier.

En bref il faut:

  • Avoir un accès utilisateur au serveur MySQL.
  • L’utilisateur mysql doit être propriétaire du fichier de configuration de MySQL (en général: /etc/mysql/my.cnf)

Et donc enfin attendre le prochain reboot ou forcer le reboot du serveur MySQL en le faisant crash (exploit, etc).

0 Likes

#6

C’est assez pénible tous ces sites qui reprennent de pseudo-info, sans aucunes vérifications…

De source Oracle: Le correctif est disponible depuis le 6 septembre dans toutes les versions GA (5.5.52, 5.6.33 et 5.7.15)

Autre source:

Je cite:
"
Fixed versions
MySQL fixes
MySQL seems to have already released versions that include the security fixes.

This is coming from the release notes in MySQL 5.6.33:

For mysqld_safe, the argument to --malloc-lib now must be one of the directories /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu. In addition, the --mysqld and --mysqld-version options can be used only on the command line and not in an option file. (Bug #24464380)
It was possible to write log files ending with .ini or .cnf that later could be parsed as option files. The general query log and slow query log can no longer be written to a file ending with .ini or .cnf. (Bug #24388753)
Privilege escalation was possible by exploiting the way REPAIR TABLE used temporary files. (Bug #24388746)
You aren’t affected if you use version 5.5.52, 5.6.33 or 5.7.15.
"

Pour conclure:
With Great Power Comes Great Responsibility…

1 Like

#7

Pour rappel, la version 5.7.15 est disponible depuis le 6 septembre 2016, soit 1 semaine avant l’écriture de cet article…

0 Likes

#8

Oracle MySQL Risk Matrix

http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixMSQL

0 Likes