5.7系、5.6系、5.5系の全バージョンに、デフォルトで起こるそうな
SQLインジェクションを用いてリモートからmy.cnfファイルを変更できる
+
mysqld_safeによるstartup時のライブラリのpreload機能
=
任意のコードをroot権限で実行することが可能
ということらしい。
記事になっているのは、以下のサイト
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
http://www.itmedia.co.jp/news/articles/1609/13/news055.html
この記事の写真にもある、脆弱性について詳しく書いたサイトが
http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
そこにあるように、「CVE-2016-6662」なので、ググる場合は、これで調べたほうが早い。
日本語では
MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662)
https://oss.sios.com/security/general-security-20160912
や
MySQL脆弱性 CVE-2016-6662 について (2016 09 13現在)
http://t-suzuki.hatenablog.jp/entry/2016/09/13/181555
SQLインジェクションを用いてリモートからmy.cnfファイルを変更できる
+
mysqld_safeによるstartup時のライブラリのpreload機能
=
任意のコードをroot権限で実行することが可能
ということらしい。
記事になっているのは、以下のサイト
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
http://www.itmedia.co.jp/news/articles/1609/13/news055.html
この記事の写真にもある、脆弱性について詳しく書いたサイトが
http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
そこにあるように、「CVE-2016-6662」なので、ググる場合は、これで調べたほうが早い。
日本語では
MySQLでリモートからroot権限でファイルを実行できる脆弱性(CVE-2016-6662)
https://oss.sios.com/security/general-security-20160912
や
MySQL脆弱性 CVE-2016-6662 について (2016 09 13現在)
http://t-suzuki.hatenablog.jp/entry/2016/09/13/181555