原标题:MySQL爆最高权限漏洞,MariaDB、PerconaDB受累
资安研究人员Dawid Golunski周二(11/1)揭露了两个攸关MySQL开放源码资料库的安全漏洞,将允许骇客取得系统最高权限,同时也殃及了基于MySQL的MariaDB与PerconaDB。
相关的漏洞编号分别为CVE-2016-6664与CVE-2016-5617,前者属重大风险漏洞,后者则是高度(High)风险漏洞,都属权限扩张漏洞,皆影响MySQL 5.5.51、MySQL 5.6.32及MySQL 5.7.14及之前的版本,以及基于这些版本的MariaDB与PerconaDB。
其中的CVE-2016-6664漏洞允许已存取资料库的本地端系统使用者扩大权限,成为资料库系统使用者,藉以存取伺服器上的所有资料库,若再辅以CVE-2016-5617或其他的权限扩张漏洞,还可进一步成为根系统使用者,等于全面入侵了伺服器。
Golunski已打造出同时开採CVE-2016-6664与CVE-2016-5617的概念性攻击程式,让骇客即刻间取得系统最高权限,该程式还可搭配CVE-2016-6663或CVE-2016-5616等漏洞使用。
目前包括MySQL与PerconaDB都已修补上述两个漏洞,MariaDB则计画在下一次更新中修补。
相关:
Google威胁分析团队于31日在安全博客中公开Microsoft Windows 10严重的安全漏洞,声称Google早在十天前就已经发现此项问题并通知微软,但微软并未做出修改与报告,因此根据漏洞揭露方针决定公开此项安全疑虑,并提供
示意图,与新闻事件无关。 图片来源: Microsoft 周日Google在微软还未写好修补程式情况下就公布了一个Windows重大零时攻击漏洞,理由是已经看到有攻击发生。微软周一指出,发动攻击行动的是名为Strontium的俄罗斯骇
Google紧急公开Windows零时漏洞,但微软还没写好修补程式
只通报10天就公开漏洞!Google以出现攻击为由,为了向使用者示警,紧急公开了10天前通报给微软的一个Windows重大零时差漏洞,但微软还没準备好这个漏洞的修补程式。Google此举也引发了微软的不满。但因此漏洞是Flash
Adobe于本周三(10/26)紧急释出Adobe Flash Player更新程式,以修补一个已遭攻击的重大安全漏洞,该漏洞将允许骇客掌控使用者电脑。编号为CVE-2016-7855的漏洞属于「释放后使用」(use-after-free)漏洞,使用者只要
图片来源: Apple 苹果于本周一(10/24)针对旗下各平台进行安全更新,涵盖iOS、macOS、tvOS、watchOS等作业系统,以及浏览器Safari等,其中有一个可透过恶意JPEG档案开採的重大漏洞同时影响iOS、macOS、tvOS与watchO