Des failles 0day mettent à mal MySQL et il faudra patienter à poil dans la neige encore un mois avant d'avoir un correctif

Korben · Septembre 13, 2016, 4:29

Originally published at: http://korben.info/failles-0day-mettent-a-mal-mysql-faudra-patienter-a-poil-neige-mois-davoir-correctif.html
Edit : Le coup de pression de Dawid Golunski semble avoir fonctionné puisque MySQL 5.5.52, 5.6.33, 5.7.15 sont patchés. Alors là c’est craignos puisque 2 failles 0day assez critiques viennent d’être découvertes dans MySQL. CVE-2016-6662 et CVE-2016-6663 permettraient à un attaquant de prendre le contrôle total de la base de données, et cela, peu importe la version de MySQL (5.7, 5.6,…

Grunk · Septembre 13, 2016, 9:45

Oui enfin faut relativiser. Pour que l’exploit fonctionne il faut :

Avoir accès à mysql
Avoir pu envoyer un binaire sur le serveur
Etre en mesure de faire rebooter le serveur ou mysql.

Les 2 premiers points me semble déjà délicats à obtenir.

unixfox · Septembre 13, 2016, 2:05

Ca craint pour les hébergeurs web :/.

unixfox · Septembre 13, 2016, 2:45

Au passage je viens de tester, il faut aussi que l’user mysql soit propriétaire du fichier /etc/mysql/my.cnf. Si c’est l’user root (comme défini par défaut dans le package debian de base) ça ne fonctionne pas.

EDIT : Même sans accès aux fichiers du serveur, le script python upload la librairie dynamique dans un répertoire et s’occupe de bind la config mysql à ce fichier.

En bref il faut:

Avoir un accès utilisateur au serveur MySQL.
L’utilisateur mysql doit être propriétaire du fichier de configuration de MySQL (en général: /etc/mysql/my.cnf)

Et donc enfin attendre le prochain reboot ou forcer le reboot du serveur MySQL en le faisant crash (exploit, etc).

Daz · Septembre 13, 2016, 3:54

C’est assez pénible tous ces sites qui reprennent de pseudo-info, sans aucunes vérifications…

De source Oracle: Le correctif est disponible depuis le 6 septembre dans toutes les versions GA (5.5.52, 5.6.33 et 5.7.15)

Autre source:

Je cite:
"
Fixed versions
MySQL fixes
MySQL seems to have already released versions that include the security fixes.

This is coming from the release notes in MySQL 5.6.33:

For mysqld_safe, the argument to --malloc-lib now must be one of the directories /usr/lib, /usr/lib64, /usr/lib/i386-linux-gnu, or /usr/lib/x86_64-linux-gnu. In addition, the --mysqld and --mysqld-version options can be used only on the command line and not in an option file. (Bug #24464380)
It was possible to write log files ending with .ini or .cnf that later could be parsed as option files. The general query log and slow query log can no longer be written to a file ending with .ini or .cnf. (Bug #24388753)
Privilege escalation was possible by exploiting the way REPAIR TABLE used temporary files. (Bug #24388746)
You aren’t affected if you use version 5.5.52, 5.6.33 or 5.7.15.
"

Pour conclure:
With Great Power Comes Great Responsibility…

Daz · Septembre 15, 2016, 1:58

Pour rappel, la version 5.7.15 est disponible depuis le 6 septembre 2016, soit 1 semaine avant l’écriture de cet article…

Daz · Octobre 24, 2016, 10:09

Oracle MySQL Risk Matrix

http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html#AppendixMSQL