MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。
米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。
研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。
この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在せず、例え主要LinuxディストリビューションのセキュリティモジュールのSELinuxやAppArmorを実装していても、この脆弱性を悪用することは可能だという。
研究者は7月29日にOracleに報告したほか、影響を受けるPerconaDBやMariaDBなどのベンダーにも通報。PerconaDBとMariaDBのパッチは8月30日までに公開され、Oracleは10月18日に公開する定例パッチで対処を予定しているという。
しかしOracleに報告してから40日が経過したことや、MariaDBなどのパッチでセキュリティ問題に言及していることから、研究者は危険性についてユーザーに周知を図るため、脆弱性情報の公開に踏み切ったと説明している。
関連記事
- 「httpoxy」の脆弱性発覚 PHP、Go、PythonなどのCGIアプリに影響
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 - CMS「Drupal」のモジュールに極めて深刻な脆弱性、迅速対応を
数時間から数日中に脆弱性を突くコードの出現が見込まれ、できるだけ早く対応する必要がある。 - 企業のオープンソース利用急増、16件中1件に脆弱性など危険増大
企業がダウンロードしているオープンソースコンポーネントの6.1%に既知の脆弱性があり、アプリケーションのコンポーネント分析でも6.8%に脆弱性が見つかった。 - 「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響
「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.