В конце января компания Oracle опубликовала [5] сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что в MySQL исправлено 27 уязвимостей. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.
В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике [6], так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL. Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается первый раз, поэтому непонятно за какой период там собраны уязвимости (написано, что включена информация о всех уязвимостях, исправленных с момента прошлого отчёта, но загвоздка в том, что это первый отчёт). Тем не менее, компания Red Hat вчера выпустила обновление [7] для пакета mysql-5.1.61 из состава RHEL 6, в котором устранено 17 выявленных уязвимостей (Oracle заявляла об исправлении 27). Примечательно, что исправления для Oracle Linux полностью копируют [8] обновление для RHEL без дополнительных правок.
Наиболее вероятно, что в отчёте Oracle опубликованы данные об уязвимостях уже исправленных по мере выхода новых Community-выпусков MySQL. Как правило в корректирующих выпусках устраняется несколько ошибок, позволяющих вызвать крах процесса через выполнение специально оформленного SQL-запроса. Общие данные в отчёте показывают, что большинство упомянутых уязвимостей имеют именно такой характер, т.е. позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Дополнительно одна DoS-уязвимость позволяет вызвать отказ в обслуживании не аутентифицированным пользователем, две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным, одна уязвимость позволяет локальному пользователю поднять свои привилегии.
Производители ответвлений от MySQL, таких как MariaDB, столкнулись [9] с не меньшими трудностями: не понятно проявляются ли данные уязвимости для их веток, связаны ли уязвимости с известными ошибками, уже исправленными в ходе обычного процесса исправления ошибок, или это принципиально новые проблемы. Результаты попыток выяснить подробности у Oracle завершаются советом использовать самые свежие версии MySQL в которых данные уязвимости уже исправлены (судя по всему речь о MySQL Enterprise с последним Critical Patch Update).
Окончательная путаница возникла после появления неподтверждённого заявления [10] об обнаружении в последнем выпуске MySQL 5.5.20 опасной 0-day уязвимости, позволяющей удалённо атаковать MySQL-серверы. Сообщается, что уже создан работающий эксплоит, который успешно работает при использовании на сервере пакета mysql-5.5.20-debian6.0-i686.deb с сайта [11] mysql.com. Подтверждённой информации по данной уязвимости пока нет, также не понятно новая это уязвимость или уязвимость из числа 27 проблем в списке Oracle.
Ссылки:
[1] http://htfl.ru/cat-news-mysql
[2] http://htfl.ru/cat-news-oracle
[3] http://htfl.ru/cat-news-novosti
[4] http://htfl.ru/cat-news-uyazvimosti-po
[5] /out.php?link=http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html#AppendixMSQL
[6] /out.php?link=http://www.openwall.com/lists/oss-security/2012/02/09/14
[7] /out.php?link=https://rhn.redhat.com/errata/RHSA-2012-0105.html
[8] /out.php?link=http://oss.oracle.com/pipermail/el-errata/2012-February/002599.html
[9] /out.php?link=http://blog.montyprogram.com/oracles-27-mysql-security-fixes-and-mariadb/
[10] /out.php?link=https://lists.immunityinc.com/pipermail/canvas/2012-February/000011.html
[11] /out.php?link=http://dev.mysql.com/downloads/mysql/#downloads