La explotación del fallo dejaría comprometido al servidor donde se ejecuta MySQL
Múltiples vulnerabilidades graves de seguridad han sido descubiertas en el popular motor de base de datos MySQL, una de las cuales podría permitir la ejecución de código con privilegios administrativos o control total del servidor afectado.
El hallazgo fue dado a conocer por el investigador de seguridad Dawid Golunski, quien refirió que uno de los fallos críticos descubiertos podría ser aprovechado por un atacante para de forma remota inyectar una configuración maliciosa en los archivos de configuración (my.cnf) de MySQL, dejando comprometido al servidor en el que se ejecuta MySQL.
La vulnerabilidad catalogada como CVE-2016-6662 afecta a los servidores MySQL 5.7, 5.6, y 5.5, incluyendo las versiones más recientes, y podría ser explotada por atacantes locales y remotos.
La explotación de la vulnerabilidad podría ocurrir mediante inyección SQL o por el acceso autenticado a la base de datos MySQL, ya sea a través de una conexión de red o por interfaces web como phpMyAdmin.
No hay parche oficial para la vulnerabilidad crítica, ahora de día cero. Oracle publica las actualizaciones críticas de seguridas (CPU) cada tres meses, específicamente el martes más cercano al día 17 de los meses de enero, abril, julio y octubre. La próxima CPU será publicada el 18-Oct-2016. La severidad crítica de la vulnerabilidad puede incidir para que Oracle publique el parche oficial fuera de dicho ciclo habitual.