世界中のたくさんのWebサイトで使用されているオープンソースのデータベースサーバ「MySQL」ですが、9月12日にこの「MySQL」の5.7.15、5.6.33、5.5.52よりも前のバージョンにおいて、root権限でコマンドが実行可能なゼロデイ脆弱性のPoC(実証コード)と攻撃手順が公開されました。身近なところでよく使われているデータベースサーバであるため、多くの人が関心を寄せたようです。
このゼロデイ脆弱性がどうして公開されたのかというと、「MySQL」以外にも「MySQL」からフォークされた「MariaDB」「PerconaDB」に同様の脆弱性があり、既に8月には「MySQL」以外の修正パッチが公開されていたからでした。修正内容は誰でも読むことができるため、そこから「MySQL」に対しても攻撃が可能だと分かり、注意喚起のため情報が公開されたようです。
脅威の危険度を測るため、PoCやドキュメントを読んで実際の攻撃シナリオを考えるツイートが幾つも見られましたが、実際に攻撃を行うには「FILE権限を持ったSQLが実行できるユーザーでアクセスする必要がある」という結論に落ち着いていました。
従って誰でも攻撃できるわけではないのですが、WebアプリケーションにSQLインジェクション脆弱性があったり、データベースユーザーにFILE権限を付与していたりすると、サーバ全体のroot権限を奪われてしまうことにつながるため、注意が必要だということです。
また、PoCが公開された脆弱性「CVE-2016-6662」の他にも、「CVE-2016-6663」という詳細がまだ公開されていない脆弱性があり、こちらについては攻撃の条件がよく分かっていません。「外部からSQLが実行される環境ではないから大丈夫だ」と安心せずに、最新版に入れ替えるかセキュリティパッチを当てた方がよいでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.