Kritisch MySQL-lek brengt servers in gevaar
Onderzoeker Dawid Golunski van Legal Hackers kwam de lekken het eerst op het spoor. Volgens zijn bevindingen lopen “MySQL-servers in een standaardconfiguratie, in alle versies (5.7, 5.6, en 5.5)” gevaar. Door de lekken in de database, kunnen cybercriminelen de standaardconfiguratie van een MySQL-servers bewerken vanop afstand. Dat kan door een authentieke verbinding met de MySQL-dienst of door een SQL-injectie.
De flaw werd eind juli gerapporteerd aan verschillende vendors, waaronder MariaDB en PerconaDB. Beiden brachten eind augustus een patch uit voor het probleem. Ook Oracle werd gewaarschuwd, maar blijft tot nu toe de enige die niet voor een oplossing zorgde. De volgende updates van Oracle worden verwacht op 18 oktober, en het is onwaarschijnlijk dat het bedrijf daarvoor extra maatregelen neemt. Golunski gooide het lek dan maar online, toen bleek dat Oracle rijkelijk te laat zou komen met een oplossing.
“Als tijdelijke maatregelen, moeten gebruikers er zeker van zijn dat geen ‘mysql config files’ worden beheerd door ‘mysql user’ en dummy-versies maken van my.cnf-bestanden. Dat is echter geen volledige oplossing en de officiële patches kunnen best geïnstalleerd worden van zodra ze beschikbaar zijn.”