Исследователь информационной безопасности Давид Голунски рассказал о двух критических уязвимостях в MySQL, которые дают возможность полностью захватывать контроль над базой данных, а также разработал эксплоит для одной из них.
Исследователь представил эксплоит к уязвимости в MySQL, которая позволяет дистанционно выполнять код, подразумевает наличие доступа к уязвимой системе с повышенными привилегиями для внесения изменений в файлы конфигурации MySQL. Права такого уровня по умолчанию имеют лишь суперпользователи, если MySQL установлен на систему с заводскими настройками.
Не сообщается о каких-либо случаях инсталляции последних версий MySQL с небезопасными привилегиями для доступа к файлам конфигурации в дистрибутивах операционных систем, которые поставляются вместе с MySQL.
Чтобы воспользоваться уязвимостью, злоумышленник должен иметь права на внесение изменений в конфигурационные файлы. То есть, подразумевается, что у пользователя уже есть повышенные привилегии в системе, или права доступа были кем-то специально изменены для того, чтобы у атакующего была возможность редактировать файл.