Weblog

door Remy onder VPS / Server Management | 0 comments

Ernstig lek in MySQL (en varianten) gevonden(CVE-2016-6662)

Recentelijk is bekend geworden dat er in diverse MySQL-versies (en afgeleide  varianten) een kritisch lek aanwezig is. Middels dit artikel willen we u informeren omtrent dit lek.

In dit artikel leest u het volgende:
1. Achtergrond van de kwetsbaarheid
2. Kwetsbare systemen
3. Installeren van de update
4. Voor meer informatie

1. Achtergrond van de kwetsbaarheid:


Het lek in MySQL kan op afstand en door een lokale aanvaller gebruikt worden, zowel via SQL-injectie als via geauthenticeerde toegang. Dit maakt het kunnen uitvoeren van willekeurige code als root gebruiker mogelijk.

2. Kwetsbare systemen:
 

De volgende systemen zijn kwetsbaar en moeten worden bijgewerkt:

  • MySQL 5.7.15 en lager
  • MySQL 5.6.33 en lager
  • MySQL 5.5.52 en lager
  • MariaDB 5.5.50 en lager
  • MariaDB 10.0.26 en lager
  • MariaDB 10.1.16 en lager
  • Percona Server 5.5.50-38.0 en lager
  • Percona Server 5.6.31-77 en lager
  • Percona Server 5.7.13-6 en lager


Momenteel hebben alleen MariaDB en Percona updates uitgegeven naar aanleiding van dit lek. MySQL heeft momenteel nog geen updates uitgegeven en Oracle verwacht deze pas halverwege oktober uit te gaan geven. Ubuntu heeft inmiddels ook updates uitgegeven voor de momenteel ondersteunde distributies. Debian en CentOS hebben op het moment van schrijven nog geen updates beschikbaar gesteld en zullen op een later moment uitgegeven worden.

Heeft u een systeem dat nog ouder is? Dan moet u uw systeem migreren naar een nieuwe versie. Voor uw systeem komen namelijk geen updates meer uit. Zie daarvoor http://www.cloudvps.nl/community/knowledge-base/het-veilig-migreren-van-websites/

Wij adviseren u om uw servers zo snel mogelijk te controleren en waar nodig bij te werken.

3. Installeren van de update:
 

Maakt u gebruik van een controlpanel? Maakt u dan gebruik van onderstaande instructies om de update toe te passen.

DirectAdmin:

De update kan toegepast worden middels het "custombuild" systeem van DirectAdmin. De volgende commando's kunt u gebruiken om de softwarelijst te verversen en MySQL/MariaDB te updaten. De commando's dienen als root gebruiker via de commandline uitgevoerd te worden:

/usr/local/directadmin/custombuild/build clean
/usr/local/directadmin/custombuild/build update
/usr/local/directadmin/custombuild/build mysql n
/usr/local/directadmin/custombuild/build php n

cPanel / WHM:

De update kan toegepast worden door vanuit WHM door als root in te loggen, in het menu aan de linkerzijde kunt u kiezen voor "Software" en vervolgens voor "MySQL/MariaDB update".

Heeft u geen controlpanel?

Maakt u dan gebruik van onderstaande instructies om de update toe te passen via de lokale package manager. Hiervoor kunt u gebruik maken van de (online) handleiding van de gebruikte package manager. Normaliter volstaat het volgende om de software te updaten:

Debian / Ubuntu:

apt-get update
apt-get install mysql-server mysql-client

CentOS:

yum update

De duur van de update kan varieren van enkele minuten tot een uur en is afhankelijk van de hoeveelheid databases en de drukte op uw server zelf. Mocht u niet in staat zijn zelf de update toe te passen dan kunt u zich wenden tot een lokale beheerder.

Heeft u een SLA2-overeenkomst of hoger? Dan is het mogelijk de update door CloudVPS uit te laten voeren binnen de beschikbare SLA-uren. Laat u ons in dit geval weten middels een naar support@cloudvps.com dat u hierin geinteresseerd bent.

4. Voor meer informatie

Meer informatie over de kwetsbaarheden vindt u terug via onderstaande link:

https://tweakers.net/nieuws/115599/mysql-bevat-lek-dat-op-afstand-uitvoeren-van-code-mogelijk-maakt.html

Heeft u naar aanleiding van dit artikel nog vragen of opmerkingen?
Stuurt u deze dan naar de CloudVPS Servicedesk op support@cloudvps.com.

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen