通过外部报告发现,在MySQL,MariaDB和PerconaDB数据库中发现条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/INSERT/SELECT权限)帐号提升权限到数据库系统用户(通常是’mysql’)执行任意代码,成功利用此漏洞,允许攻击者完全访问数据库。也有潜在风险通过(CVE-2016-6662和CVE-2016-6664)获取操作系统root权限,请您关注并及时修复。
漏洞详情如下:
【风险概述】
MySQl,MariaDB 和 PerconaDB 数据库存在条件竞争漏洞,该漏洞允许本地用户使用低权限(CREATE/INSERT/SELECT权限)账号提升权限到数据库系统用户(通常是’mysql’)执行任意代码。成功利用此漏洞,允许攻击者完全访问数据库。也有潜在风险通过(CVE-2016-6662和 CVE-2016-6664漏洞)获取操作系统root权限。
【风险等级】 高
【影响版本】
【临时修复办法】
方案1:修改配置文件
在my.cnf中添加:symbolic-links = 0
注意:请在实施前做好充分的测试,修改完毕后请重启服务生效。
方案2:升级到官方最新版本
[安全警告]MySQL/MariaDB/PerconaDB数据库中发现条件竞争漏洞