Hai lỗ hổng bảo mật nghiêm trọng của MySQL được công bố với exploit
Một tháng buồn của MySQL, tháng trước 2, tháng này 1, tất cả là 3 cái.
Trong tháng 09/11/2016, nhà nghiên cứu bảo mật người Ba Lan của nhóm Legal Hacker đã phát hiện và công bố chi tiết hai lỗi bảo mật trên và đã đưa ra PoC (Proof of Concept) cho lỗi đầu tiên và hứa sẽ cung cấp chi tiết nội dung lỗi thứ hai (CVE-2016-6663) vào những ngày sau.
Và cho tới thứ ba ngày 01/11/2016, anh đã công bố hai bản exploit cho hai lỗi bảo mật này, và thêm vào một bản exploit cho lỗi bảo mật mới (CVE-2016-6664) cho phép kẻ tấn công có toàn quyền kiểm soát hệ quản trị cơ sở dữ liệu MySQL.
Cả hai lỗi bảo mật này đều có tác dụng trên MySQL 5.5.51 (cùng các version trước), 5.6.32 (cùng các version trước), và MySQL 5.7.14 (cùng các version trước). Ngoài ra, các cơ sở dữ liệu xây dựng trên cơ sở của MySQL cũng đều bị ảnh hưởng, bao gồm Percona Server và MariaDB.
Tham khảo chi tiết mã nguồn exploit tại: https://kodemate.com/articles/lien-tiep-cong-bo-hai-lo-hong-bao-mat-nghiem-trong-mysql-0-day