資安研究人員Dawid Golunski本周揭露一MySQL的零時差安全漏洞,它是一個重大漏洞,駭客可藉此接管資料庫,且存在於所有MySQL版本中 ,並波及衍生的MariaDB與Percona DB。
Golunski所公布的漏洞編號為CVE-2016-6662 ,駭客可透過該漏洞自遠端注入惡意設定到MySQL的配置檔案中,成功的開採將讓駭客取得資料庫的最高權限,執行任意程式。Golunski已釋出針對該漏洞的概念性攻擊程式。
此一漏洞影響所有採用預設配置的MySQL伺服器,包含各種最新版本及MySQL 5.5/5.6/5.7的版本分支,從本地端或遠端皆可開採。
MySQL為全球最受歡迎的開放源碼資料庫,提供低成本及高效能的資料庫功能,包括Facebook、Google及Adobe等業者都採用。
MariaDB與Percona DB皆已修補了此一漏洞,唯獨甲骨文尚未修補,由於Golunski早在今年7月底便通知甲骨文,迄今已過了40天, 因而將該漏洞公諸於世。甲骨文可能會藉由今年10月底的每季例行更新(Critical Patch Update,CPU)解決該漏洞。