Una vulnerabilidad en MySQL permite la explotación remota de sus servidores

Esta vulnerabilidad crítica, con identificador CVE-2016-6662, afecta a la configuración por defecto de todas las versiones de MySQL (5.7, 5.6 y 5.5) y a sus bases de datos derivadas, Maria DB y Percona DB.

MySQL

 

La vulnerabilidad afecta “a todos los servidores de MySQL en la configuración por defecto de todas las versiones (5.7, 5.6 y 5.5)”, así como a sus bases de datos derivadas, Maria DB y Percona DB, según ha afirmado Dawid Golunski, el investigador que encontró dicha vulnerabilidad.

Esta vulnerabilidad crítica, con identificador CVE-2016-6662, puede ser explotada para inyectar configuraciones maliciosas en los ficheros de MySQL (my.cnf) y derivar en la ejecución de código arbitrario con privilegios de root.

Puede ser utilizada por un atacante que tenga una conexión autenticada a la base de datos de MySQL, algo que es común en entornos de alojamiento compartido, o a través de una inyección SQL, un tipo de vulnerabilidad habitual en páginas web.

Golunski informó de la vulnerabilidad a los desarrolladores de los tres servidores de bases de datos afectados, pero solo Maria DB y Percona DB publicaron parches para solucionarla.

Oracle, compañía que desarrolla MySQL, fue informada el pasado 29 de julio, pero aún no ha corregido el problema. La compañía publica actualizaciones de seguridad en su programación trimestral, por lo que se espera que la siguiente salga en el mes de octubre.

Sin embargo, dado que Maria DB y Percona DB hicieron públicos los parches a finales de agosto, el investigador ha decidido revelar también los detalles de la vulnerabilidad para que los administradores de MySQL puedan tomar medidas y proteger sus servidores.

El aviso de Golunski contiene una prueba de concepto (PoC) limitada de la vulnerabilidad, pero algunas partes se han omitido intencionadamente para prevenir el abuso generalizado.

Este investigador también ha informado a Oracle sobre una segunda vulnerabilidad, CVE-2016-6663, la cual podría simplificar aún más el ataque, pero aún no se han publicado más detalles.

La difusión de CVE-2016-6662 recibió algunas críticas en foros de discusión especializados, en los que algunos usuarios argumentaron que se trata de una vulnerabilidad de elevación de privilegios y no una vulnerabilidad para ejecutar código arbitrario en remoto, tal y como se ha informado, ya que los atacantes necesitarían un cierto nivel de acceso a las bases de datos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper