Il 12 Settembre 2016 sono state scoperte due vulnerabilità molto importanti sul motore di gestione database più conosciuto al mondo: MySQL Server.

Grazie a questa vulnerabilità un hacker può prendere il controllo dell’intero database eseguendo codice malevolo.
Le vulnerabilità sono segnalate con il seguente identificato: CVE-2016-6662 e CVE-2016-6663

Le versioni affette da questo problema sono:

  • qualsiasi versione minore o uguale alla 5.7.15
  • la 5.6.33
  • la 5.5.52

Attualmente non è stata rilasciata alcuna patch di sicurezza da applicare a MySQL per correggere il problema. Non appena vi saranno novità ve lo faremo sapere aggiornando le presente news.

Chi utilizza il fork di MySQL Percona invece può già effettuare l’update che corregge immediatamente la vulnerabilità:

Anche Mariadb aggiornato a 10.0.27-1 risolve la vulnerabilità (disponibile per ora solamente su debian sid unstable).

Ad ogni modo è possibile eseguire un workaround per mitigare il rischio verificando che il file my.cnf, solitamente situato in /etc/mysql, non sia di proprietà dell’utente mysql.

-rw-r–r– 1 root root 3505 Feb 15 2016 my.cnf

Potete trovare la descrizione completa al seguente link: https://security-tracker.debian.org/tracker/CVE-2016-6662

E’ stato rilasciato l’aggiornamento per Debian Jessie su MySQL 5.5.52