Oracle dicht ernstig beveiligingslek in MySQL pas in oktober

  1. 13 sep 2016
  2. 0 reacties

MySQL blijkt twee ernstige zero-day kwetsbaarheden te bevatten die het mogelijk maken de volledige controle over een MySQL-database over te nemen. De kwetsbaarheden treffen zowel MySQL als de MySQL-forks MariaDB en PerconaDB.

De kwetsbaarheden zijn ontdekt door de Poolse beveiligingsonderzoeker Dawid Golunski en geïdentificeerd als CVE-2016-6662 en CVE-2016-6663. CVE-2016-6662 kan worden uitgebuit om malafide instellingen in MySQL configuratiebestanden te injecteren of zelf malafide configuratiebestanden aan te maken. Dit maakt het mogelijk om willekeurige code met rootrechten uit te voeren en de server volledig over te nemen. CVE-2016-6662 kan worden uitgebuit via een SQL-injectie of door aanvallers die via een netwerkverbinding of webinterface als phpMyAdmin geauthentificeerde toegang weten te krijgen tot een MySQL database.

CVE-2016-6663

Over de tweede kwetsbaarheid, CVE-2016-6663, zijn minder details bekend. Golunski geeft aan op korte termijn meer informatie vrij te geven over deze kwetsbaarheid. Wel is duidelijk dat dit beveiligingslek het voor aanvallers eenvoudiger maakt misbruik te maken van CVE-2016-6662

Golunski stelt zowel Oracle, MariaDB en PerconaDB op 29 juli te hebben ingelicht over de problemen. Zowel MariaDB als PerconaDB hebben inmiddels updates uitgebracht waarmee de beveiligingsgaten worden gedicht. Ook Oracle erkent het probleem. Het bedrijf geeft echter aan ondanks de ernst van de kwetsbaarheden niet af te willen wijken van het vaste updateschema. De beveiligingsgaten worden hierdoor pas op 18 oktober gedicht. Aangezien de problemen meer dan 40 dagen geleden gemeld zijn bij Oracle en zowel MariaDB als PerconaDB de gaten wel hebben gedicht heeft Golunski nu besloten de problemen desondanks naar buiten te brengen.

Tijdelijke oplossing

Om te voorkomen dat cybercriminelen misbruik maken van het lek kunnen beheerders wel maatregelen nemen. Zo adviseert Golunski zeker te stellen dat geen enkel configuratiebestand van MySQL eigendom zijn van mysql user. Daarnaast adviseert de onderzoekers dummy my.cnf bestanden die niet in gebruik zijn aan te maken en eigendom zijn van het root account. Golunski benadrukt hierbij wel dat dit slechts een tijdelijke oplossing is en allesbehalve een volledige oplossing is. Hij adviseert beheerders dan ook officiële patches direct te installeren zodra deze beschikbaar zijn.