พบช่องโหว่บน MySQL, MariaDB, Percona ใช้โจมตีต่อเนื่องได้ แนะให้ Patch โดยด่วน

Dawud Golunski นักล่าช่องโหว่ของ Software ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ Race Condition บน MySQL, MariaDB และ Percona ซึ่งสามารถใช้โจมตีต่อเนื่องได้ และรายงานไปยังเหล่านักพัฒนาของทั้ง 3 ระบบเรียบร้อยแล้ว พร้อมแนะนำให้เหล่าผู้ที่ใช้งานระบบเหล่านี้เตรียมตัว Patch โดยด่วน

Credit: ShutterStock.com
Credit: ShutterStock.com

ช่องโหว่นี้จะถูกโจมตีได้จากผู้ประสงค์ร้ายที่มีสิทธิ์สามารถทำการเรียกใช้คำสั่ง Select, Insert หรือ Create บนระบบฐานข้อมูลได้ เพื่อใช้ช่องโหว่นี้ในการรันคำสั่งเพื่อโจมตีและยกระดับสิทธิ์ของตนเองเพื่อเข้าถึงฐานข้อมูลทั้งหมดในระบบ และอาศัยช่องโหว่อื่นๆ เพิ่มเติมเพื่อกลายเป็น Root ได้

ช่องโหว่นี้ถูกตั้งรหัสเอาไว้ว่า CVE-2016-6663 จะส่งผลกระทบเป็นอย่างมากกับเหล่าระบบที่เป็น Shared System โดยตรง

สำหรับใครที่สามารถ Patch ระบบได้ก็ควร Patch ทันที ในขณะที่ใครที่ยังไม่พร้อมก็ควรจำกัดขอบเขตของปัญหาโดยการตั้งค่าใน my.cnf เป็น symbolic-links = 0 ส่วนใครอยากอ่านรายละเอียดเชิงลึกสามารถรอดูคลิป PoC ได้ที่ http://legalhackers.com/videos/MySQL-MariaDB-PerconaDB-PrivEsc-Race-CVE-2016-6663-5616-6664-5617-Exploits.html นะครับ (ตอนนี้คลิปยังไม่อัปโหลดขึ้นไปนะครับ)

ที่มา: http://www.theregister.co.uk/2016/11/03/vuln_hunter_finds_nasty_shared_server_god_mode_database_hack_holes/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้