数据库是在科技界最流行的产品了,所有大型的科技巨头都是它们的主要客户,包括,雅虎、Facebook、谷歌、Netflix、推特、eBay等。
什么是数据库?
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今六十多年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。
在信息化社会,充分有效地管理和利用各类信息资源,是进行科学研究和决策管理的前提条件。数据库技术是管理信息系统、办公自动化系统、决策支持系统等各类信息系统的核心部分,是进行科学研究和决策管理的重要技术手段。
最近正派黑客古轮斯基发现了这个漏洞并且报告给了各大厂商来修复在竞态条件漏洞的存在,具体存在MySQL、MariaDB和Percona中,可被联动使用掌控服务器。同时可以拥有本地的数据库检索功能、可以插入创建权限的用户,可利用此漏洞执行任意代码并将自身账户权限提升到系统用户。系统用户权限下,服务器上所有数据的数据库全部都可以掌握到手,同时结合其他补丁的漏洞获取rootshell。
用户在访问数据库时是非常危险的,利用这些漏洞可以获得数据库访问权限。也可利用这些漏洞来将权限提升至上帝模式。
漏洞使受影响数据库具备低权限的本地用户,提权为数据库系统用户,进行执行恶意代码的上帝模式,将使攻击者获取数据库服务器上数据库的访问权。该漏洞如果获取到的权限级别,与其他漏洞叠加,将mysql用户升至root用户,攻击者就开启了服务器的上帝模式了。这是很可拍的威胁。
科达物德·古轮斯基还描述了未打补丁的系统,获取完整控制权的显示过程。
所以IT管理员们尽早打上补丁,防止将来的新一波漏洞攻击。
不能立即打上补丁的IT管理员们,可关闭数据库服务器配置中的符号关联,在my.cnf中令symbolic-links=0,这样就可以了。