MySQLに未解決の脆弱性 (CVE-2016-6662)が確認されましたのでお知らせいたします。
想定される影響として、root権限で任意のコードを実行され、
サーバを制御される可能性があります。
本脆弱性やその影響については以下を参照してください。
* MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662
* MySQL脆弱性 CVE-2016-6662 について (2016 09 13現在)
* 5.7.15 以下
* 5.6.33 以下
* 5.5.52 以下
5.1 にはこの脆弱性はありません。
MySQLのバージョンで脆弱性の対象かどうかを確認する
$ mysql –version
公式パッチはまだ提供されていません(2016/09/15時点)。
よって、下記を暫定対応としてご連絡いたします。
1. リモートから FILE 権限を持つユーザに任意の SQL が実行できないようにする
2. MySQL の設定ファイルを mysql を実行しているユーザ(通常は mysql)が書き込みないことを確認する
+ 2で確認すべきファイル
* 有効になっている設定ファイル
* /usr/sbin/mysqld –help –verbose で表示される設定ファイル
* 設定ファイル内で !include ディレクティブで指定しているファイル(またはディレクトリ)
なお、パッチ済みのバージョンの提供が開始されましたら、各ディストリビューションの案内に従い、アップデートを行ってください。
提供については下記【ディストリビューションごとの対応状況】をご確認ください。
+ Debian
https://security-tracker.debian.org/tracker/CVE-2016-6662
+ Redhat/CentOS
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2016-6662
以上、お手数おかけしますがよろしくお願いいたします。
■公式SNS
https://sns.openpne.jp/
OpenPNEユーザーの皆さんが気軽にコミュニケーションができるQ&Aサイトです。
どなたでも無料で利用できます。(facebook、google、twitter の各アカウントでログインが可能です。)
■技術サポートサービス
http://support.pne.jp/
OpenPNE開発元の手嶋屋が提供しているサービスです。
有料になりますがこちらにお申し込みいただきますと弊社のOpenPNE開発エンジニアがOpenPNEの様々なトラブルについて、調査・サポートさせていただきます。
今後とも、OpenPNE 技術サポートをよろしくお願いいたします。
OpenPNEの専門家があなたのSNSをサポート
