Kritisch lek in MySQL

15 september 2016

Kritisch lek in MySQL

Recent is bekend geworden dat er in diverse MySQL-versies (en afgeleide varianten) een kritisch lek aanwezig is. Via deze email willen we u informeren omtrent dit lek. Het lek in MySQL kan op afstand en door een lokale aanvaller gebruikt worden, zowel via SQL-injectie als via geauthenticeerde toegang. Dit maakt het kunnen uitvoeren van willekeurige code als root gebruiker mogelijk.

MySQL kritisch lek

Kwetsbare systemen:

De volgende systemen zijn kwetsbaar en moeten worden bijgewerkt:

MySQL 5.7.15 en lager
MySQL 5.6.33 en lager
MySQL 5.5.52 en lager
MariaDB 5.5.50 en lager
MariaDB 10.0.26 en lager
MariaDB 10.1.16 en lager
Percona Server 5.5.50-38.0 en lager
Percona Server 5.6.31-77 en lager
Percona Server 5.7.13-6 en lager

Momenteel hebben alleen MariaDB en Percona updates uitgegeven naar aanleiding van dit lek. MySQL heeft momenteel nog geen updates uitgegeven en Oracle verwacht deze pas halverwege oktober uit te gaan geven. Ubuntu heeft inmiddels ook updates uitgegeven voor de momenteel ondersteunde distributies. Debian en CentOS hebben op het moment van schrijven nog geen updates beschikbaar gesteld en zullen op een later moment uitgegeven worden.

Heeft u een systeem dat nog ouder is? Dan moet u uw systeem migreren naar een nieuwe versie. Voor uw systeem komen namelijk geen updates meer uit. Wij adviseren u om uw servers zo snel mogelijk te controleren en waar nodig bij te werken.

Installeren van de update:

Maakt u gebruik van een controlpanel? Maakt u dan gebruik van onderstaande instructies om de update toe te passen.

DirectAdmin:
De update kan toegepast worden middels het “custombuild” systeem van DirectAdmin. De volgende commando’s kunt u gebruiken om de softwarelijst te verversen en MySQL/MariaDB te updaten. De commando’s dienen als root gebruiker via de commandline uitgevoerd te worden:

/usr/local/directadmin/custombuild/build clean /usr/local/directadmin/custombuild/build update /usr/local/directadmin/custombuild/build mysql n /usr/local/directadmin/custombuild/build php n

cPanel / WHM:
De update kan toegepast worden door vanuit WHM door als root in te loggen, in het menu aan de linkerzijde kunt u kiezen voor “Software”
en vervolgens voor “MySQL/MariaDB update”.

Heeft u geen controlpanel? Maakt u dan gebruik van onderstaande instructies om de update toe te passen via de lokale package manager.
Hiervoor kunt u gebruik maken van de (online) handleiding van de gebruikte package manager. Normaliter volstaat het volgende om de software te updaten:

Debian / Ubuntu:
apt-get update
apt-get install mysql-server mysql-client

CentOS:
yum update

De duur van de update kan varieren van enkele minuten tot een uur en is afhankelijk van de hoeveelheid databases en de drukte op uw server zelf. Mocht u niet in staat zijn zelf de update toe te passen dan kunt u zich wenden tot een lokale beheerder of ons contacteren.

 

Meer informatie over de kwetsbaarheden vindt u terug via onderstaande link: https://tweakers.net/nieuws/115599/mysql-bevat-lek-dat-op-afstand-uitvoeren-van-code-mogelijk-maakt.html

  • Berichten

    03

    mei

    2017

    Nieuwe website voor Siohosting

    Onze eigen Siohosting website was toe aan een opfrissing. En daar hebben we graag werk […]

    03

    feb

    2017

    Grote kwetsbaarheid in WordPress

    WordPress, een van de vaakst gebruikte CMS systemen ter wereld wereld, heeft een nieuwe versie […]

    23

    dec

    2016

    SSL certificaten verplicht voor google chrome vanaf 2017

    Vanaf 1 januari 2017 zal google Chrome (de webbrowser die de meeste onder ons gebruiken […]

  • Dank voor de snelle service

    Tevreden over de dienstverlening

    Bedankt voor de goede service

  • Indien de login niet werkt op deze manier, kan je via volgende link inloggen: www.siomail.be