ニュース

MySQLにゼロデイ脆弱性2件、デフォルトで影響、修正プログラムは未提供

 オープンソースのデータベース「MySQL」の最新バージョン「5.7.15」や「5.6.33」「5.5.52」の各系統を含むすべてのバージョンや、MySQLから派生した「MariaDB」「PerconaDB」について、2件の脆弱性が報告された。9月12日現在、MySQLの修正プログラムは提供されていない。

 脆弱性「CVE-2016-6662」は、ウェブアプリケーションへのSQLインジェクション攻撃や、管理ツール「phpMyAdmin」へのアクセスにより、MySQLの設定ファイル「my.cnf」を改変することで、ローカルまたはリモートから任意のコードを実行可能にするもの。

 この脆弱性は、多くのLinuxディストリビューションにおいてデフォルトで有効となっている設定で影響を受けるもので、「SELinux」や「AppArmor」といったセキュリティモジュールを使用していても、脆弱性が悪用される可能性がある。

 MariaDBとPerconaDB向けのCVE-2016-6662に対する修正プログラムは、8月30日に提供されている。これにより攻撃者が脆弱性を把握できる状態となっていることから、脆弱性の発見者であるDawid Golunski氏は脆弱性について公表に踏み切ったという。公表された内容には、限定的な実証コード(PoC)が含まれる。

 Dawid Golunski氏はCVE-2016-6662の報告の中で、リモートから任意のコードを実行できる可能性のある特権昇格の脆弱性「CVE-2016-6663」の存在にも触れているが、現在のところ詳細を公表していない。

 いずれの脆弱性も7月29日にMySQLの開発元となっているOracleなどに報告されているが、MySQL向けの修正プログラムは現在のところ提供されていない。

 Dawid Golunski氏は一時的な緩和策として、MySQLユーザーが所有者の設定ファイルがないことを確認した上で、ルートを所有者としたダミーの設定ファイルを作成する対策方法を紹介している。