MySQL 远程代码执行漏洞(CVE-2016-6662)

发布日期：2016-09-12
更新日期：2016-09-14

受影响系统：

描述：

CVE(CAN) ID: CVE-2016-6662

Oracle MySQL Server是一个轻量的关系型数据库系统。

以默认方式进行配置的所有版本的MySQL服务器，涵盖5.7、5.6和5.5，包括最新版本存在SQL注入漏洞，此外，包括MariaDB和PerconaDB在内的MySQL分支也在影响范围内。攻击者既可以通过本地方式，也可以通过远程方式进行漏洞利用。该漏洞可以允许攻击者远程向MySQL配置文件(my.cnf)注入恶意的环境配置，从而导致以root权限执行任意代码。

<*来源：Dawid Golunski
 
  链接：http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html
*>

建议：

厂商补丁：

Oracle
------
Oracle官方尚未发布补丁，作为暂时的缓解策略，MySQL用户应该做到以下两点：1、确保MySQL的配置文件不被MySQL用户所拥有；2、以root用户身份创建一个虚假my.cnf文件。

MySQL的两个分支MariaDB和PerconaDB已经发布了补丁，请升级到最新版本，下载地址分别如下：
https://mariadb.org/download/
https://www.percona.com/downloads/