Компания Oracle недавно при публикации исправлений уязвимостей в MySQL по ошибке опубликовала PoC-код к уязвимости отказа в обслуживании. Напомним, что в марте этого года Oracle выпустила обновление 5.5.22, в котором исправила несколько уязвимостей. Подробная информация об уязвимостях компанией не разглашалась, так как они могут быть проэксплуатированы в более ранних версиях приложения.
Исследователь безопасности Ерик Романг (Eric Romang) обнаружил в новых версиях MySQL сценарий для разработчиков mysql-test/suite/innodb/t/innodb_bug13510739.test, который являясь частью функционала автоматического тестирования, содержит PoC-код бреши, которая вызывает аварийное завершение работы MySQL 5.5.21 и более ранних версий, а затем опубликовал его в Pastebin. Для успешной эксплуатации уязвимости необходимо осуществить аутентификацию, а также получить определенные привилегии.
Таким образом, попытка сокрытия подробностей уязвимости не принесла никакого результата, так как потенциальный злоумышленник может воспользоваться предоставленным компанией PoC-кодом для разработки функционального эксплоита.
Редакция рекомендует системным администраторам в кратчайшие сроки обновить MySQL до актуальной версии.
Источник: SecurityLab
|
