winkelmand

Kritisch lek in MySQL

Recent is bekend geworden dat er in diverse MySQL-versies (en afgeleide varianten) een kritisch lek aanwezig is. Via deze email willen we u informeren omtrent dit lek. Het lek in MySQL kan op afstand en door een lokale aanvaller gebruikt worden, zowel via SQL-injectie als via geauthenticeerde toegang. Dit maakt het kunnen uitvoeren van willekeurige code als root gebruiker mogelijk.

MySQL kritisch lek

Kwetsbare systemen:

De volgende systemen zijn kwetsbaar en moeten worden bijgewerkt:

MySQL 5.7.15 en lager
MySQL 5.6.33 en lager
MySQL 5.5.52 en lager
MariaDB 5.5.50 en lager
MariaDB 10.0.26 en lager
MariaDB 10.1.16 en lager
Percona Server 5.5.50-38.0 en lager
Percona Server 5.6.31-77 en lager
Percona Server 5.7.13-6 en lager

Momenteel hebben alleen MariaDB en Percona updates uitgegeven naar aanleiding van dit lek. MySQL heeft momenteel nog geen updates uitgegeven en Oracle verwacht deze pas halverwege oktober uit te gaan geven. Ubuntu heeft inmiddels ook updates uitgegeven voor de momenteel ondersteunde distributies. Debian en CentOS hebben op het moment van schrijven nog geen updates beschikbaar gesteld en zullen op een later moment uitgegeven worden.

Heeft u een systeem dat nog ouder is? Dan moet u uw systeem migreren naar een nieuwe versie. Voor uw systeem komen namelijk geen updates meer uit. Wij adviseren u om uw servers zo snel mogelijk te controleren en waar nodig bij te werken.

Installeren van de update:

Maakt u gebruik van een controlpanel? Maakt u dan gebruik van onderstaande instructies om de update toe te passen.

DirectAdmin:
De update kan toegepast worden middels het “custombuild” systeem van DirectAdmin. De volgende commando’s kunt u gebruiken om de softwarelijst te verversen en MySQL/MariaDB te updaten. De commando’s dienen als root gebruiker via de commandline uitgevoerd te worden:

/usr/local/directadmin/custombuild/build clean /usr/local/directadmin/custombuild/build update /usr/local/directadmin/custombuild/build mysql n /usr/local/directadmin/custombuild/build php n

cPanel / WHM:
De update kan toegepast worden door vanuit WHM door als root in te loggen, in het menu aan de linkerzijde kunt u kiezen voor “Software”
en vervolgens voor “MySQL/MariaDB update”.

Heeft u geen controlpanel? Maakt u dan gebruik van onderstaande instructies om de update toe te passen via de lokale package manager.
Hiervoor kunt u gebruik maken van de (online) handleiding van de gebruikte package manager. Normaliter volstaat het volgende om de software te updaten:

Debian / Ubuntu:
apt-get update
apt-get install mysql-server mysql-client

CentOS:
yum update

De duur van de update kan varieren van enkele minuten tot een uur en is afhankelijk van de hoeveelheid databases en de drukte op uw server zelf. Mocht u niet in staat zijn zelf de update toe te passen dan kunt u zich wenden tot een lokale beheerder of ons contacteren.

 

Meer informatie over de kwetsbaarheden vindt u terug via onderstaande link: https://tweakers.net/nieuws/115599/mysql-bevat-lek-dat-op-afstand-uitvoeren-van-code-mogelijk-maakt.html

Terug naar blog-overzicht
x

Wenst u meer info? Aarzel niet om ons te contacteren.