พบช่องโหว่บน MySQL, MariaDB, Percona ใช้โจมตีต่อเนื่องได้ แนะให้ Patch โดยด่วน

Dawud Golunski นักล่าช่องโหว่ของ Software ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ Race Condition บน MySQL, MariaDB และ Percona ซึ่งสามารถใช้โจมตีต่อเนื่องได้ และรายงานไปยังเหล่านักพัฒนาของทั้ง 3 ระบบเรียบร้อยแล้ว พร้อมแนะนำให้เหล่าผู้ที่ใช้งานระบบเหล่านี้เตรียมตัว Patch โดยด่วน

Credit: ShutterStock.com
Credit: ShutterStock.com

ช่องโหว่นี้จะถูกโจมตีได้จากผู้ประสงค์ร้ายที่มีสิทธิ์สามารถทำการเรียกใช้คำสั่ง Select, Insert หรือ Create บนระบบฐานข้อมูลได้ เพื่อใช้ช่องโหว่นี้ในการรันคำสั่งเพื่อโจมตีและยกระดับสิทธิ์ของตนเองเพื่อเข้าถึงฐานข้อมูลทั้งหมดในระบบ และอาศัยช่องโหว่อื่นๆ เพิ่มเติมเพื่อกลายเป็น Root ได้

ช่องโหว่นี้ถูกตั้งรหัสเอาไว้ว่า CVE-2016-6663 จะส่งผลกระทบเป็นอย่างมากกับเหล่าระบบที่เป็น Shared System โดยตรง

สำหรับใครที่สามารถ Patch ระบบได้ก็ควร Patch ทันที ในขณะที่ใครที่ยังไม่พร้อมก็ควรจำกัดขอบเขตของปัญหาโดยการตั้งค่าใน my.cnf เป็น symbolic-links = 0 ส่วนใครอยากอ่านรายละเอียดเชิงลึกสามารถรอดูคลิป PoC ได้ที่ http://legalhackers.com/videos/MySQL-MariaDB-PerconaDB-PrivEsc-Race-CVE-2016-6663-5616-6664-5617-Exploits.html นะครับ (ตอนนี้คลิปยังไม่อัปโหลดขึ้นไปนะครับ)

ที่มา: http://www.theregister.co.uk/2016/11/03/vuln_hunter_finds_nasty_shared_server_god_mode_database_hack_holes/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

BOTNOI บริษัทสตาร์ทอัพไทย ได้พัฒนาผู้ช่วยปัญญาประดิษฐ์ที่ใช้ Generative AI รองรับหลายภาษาในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยใช้บริการคลาวด์ของ AWS [PR]

อะเมซอน เว็บ เซอร์วิสเซส (Amazon Web Services: AWS) บริษัทในเครือของ Amazon.com ประกาศในวันนี้ว่า BOTNOI สตาร์ทอัพด้าน Generative AI ของไทยที่เชี่ยวชาญในการสร้างผู้ช่วยเสมือนจริงสำหรับการสนทนา ได้พัฒนาแพลตฟอร์ม BOTNOI Voice ขึ้นบนคลาวด์ของ AWS เพื่อแปลงข้อความเป็นเสียงพูดและแปลงเสียงพูดเป็นข้อความ โดยใช้เทคโนโลยี Generative AI ที่ได้รับการปรับแต่งให้เหมาะสมกับภาษาและวัฒนธรรมในภูมิภาคเอเชียตะวันออกเฉียงใต้ด้วยข้อมูลภาษาที่ได้รับความยินยอมแล้ว ทำให้องค์กรต่าง ๆ สามารถนำไปใช้ปรับปรุงการบริการลูกค้าได้อย่างมีประสิทธิภาพมากขึ้น

Nebius ระดมทุน 700 ล้านดอลลาร์ เสริมศักยภาพศูนย์ข้อมูลและบริการ AI

Nebius ผู้ให้บริการโครงสร้างพื้นฐาน AI ระดมทุนได้ 700 ล้านดอลลาร์ผ่านการการเสนอขายหุ้นในวงจำกัด โดยมีนักลงทุนหลัก ได้แก่ Nvidia, Accel และ Orbis Investments