Lek in MySQL

MySQL.png

De details van een lek in MySQL zijn openbaar gemaakt, waarmee hackers een server compleet zouden kunnen overnemen. Volgens de ontdekker van het lek, onderzoeker Dawid Golunski, zit het lek in 'alle MySQL servers met de standaardinstellingen, in alle versies (5.7, 5.6 en 5.5), inclusief de laatste versies', en ook in de van MySQL afgeleide databases MariaDB en Percona DB. Voor de hack moet de aanvaller wel enige toegang hebben tot de server, voor het veranderen van het MySQL configuratiebestand my.cnf, om zo een eigen library uitgevoerd te krijgen. Golunski heeft de makers achter alle drie de databases op de hoogte gesteld, maar alleen MariaDB en Percona DB kwamen met een patch; het wachten is nog op een patch van Oracle voor MySQL. Oracle zou op 29 juli van het probleem op de hoogte zijn gesteld. Omdat de andere databases eind augustus wel patches kregen, besloot Golunski om de details over het lek in MySQL openbaar te maken, zodat beheerders van een MySQL server toch maatregelen zouden kunnen nemen. Ondanks de aanwezigheid van een proof-of-concept exploit, heeft hij niet alle details vrijgegeven.