Threatpost - The First Stop For Security News

9月12日(米国時間)、Threatpostに掲載された記事「Critical MySQL Vulnerability Disclosed|Threatpost|The first stop for security news」が、MySQLに致命的な脆弱性(CVE-2016-6662)が存在すると伝えた。この脆弱性を悪用されると最終的に任意のコードが実行される危険性があり注意が必要。Oracleから提供されるセキュリティパッチは10月18日に実施される定例のアップデートに含まれると見られている。

影響を受けるプロジェクトおよびバージョンはMySQL 5.7.15、5.6.33、5.5.52。MySQLをベースに取り込んでいるMariaDBおよびPerconaDBではすでにこの脆弱性を修正したと説明がある。この脆弱性を報告した研究者であるDawid Golunski氏は、Oracleに報告してから40日以上が経過したことと、2社が対応を行ったことなどから、脆弱性の詳細を公開したとしている。限定的なPoCも公開されている。

対象の脆弱性はLinuxカーネルが提供するセキュリティ機能などを使っても回避することができないとされている。該当するプロダクトおよびバージョンを使っている場合、アップデート版が公開されたら速やかにアップデートを適用することが推奨される。