米国時間9月12日、無所属のセキュリティ研究者Dawid Golunski氏は、ベンダーへの通知後40日が経過したとして、ゼロデイ脆弱性に関する情報を一般に開示した。
この脆弱性(CVE-2016-6662)は、不正な特権昇格が起きる可能性があるもので、「MySQL」の最新バージョン5.7.15、5.6.33、5.5.52を含む全バージョンに加え、「MariaDB」および「PerconaDB」などのMySQLから派生したソフトウェアにも影響がある。
CVE-2016-6662は、MySQLデータベースに対する認証済み接続を通じて悪用される可能性がある。この脆弱性を悪用すると、攻撃者はMySQLの設定ファイル(my.cnf)を改変し、rootアクセスを獲得して任意の悪質なコードを実行することができる。
この脆弱性は、ローカルからもリモートからも悪用可能で、リモートからroot特権で任意のコードを実行することができる。
Golunski氏は、開示された内容を裏付ける概念実証コードも公開しているが、現時点で公開されているものは限定的なもので、ユーザーに警告に対処し、Oracleが修正パッチを公開する猶予を与えるため、完全な概念実証コードの開示は延期されている。
この脆弱性は7月29日にOracleに報告され、同社のセキュリティチームが調査を行っている。また、PerconaDBとMariaDBを含む、この脆弱性の影響を受けるほかのベンダーにも報告されている。PerconaDBとMariaDBはすでに問題を修正したため、両社のソフトウェアは現在この脆弱性の影響を受けないが、Oracleはまだ修正パッチを公開していない。
「同ベンダーらが修正パッチを公開する過程で、パッチは公開レポジトリに登録され、リリース情報でも修正されたセキュリティ問題について言及されているため、悪意を持った攻撃者に気づかれる可能性がある」とGolunski氏は述べている。
「すでに問題の報告から40日以上が経過し、パッチが公の場で言及されたことに伴い、10月後半まで待つ必要があるOracleの次回Critical Patch Updateまでの間、ユーザーにリスクについて知らせるため、脆弱性に関する情報(限定的な概念実証コードを含む)を開示することを決めた」(Golunski氏)
ただし、セキュリティ業界では、この情報開示について議論が起こっていることにも注意が必要だろう。
本記事執筆時点では、Oracleからの公式のセキュリティパッチや緩和策は提供されていない。ただし、10月18日に予定されているOracleのCritical Patch Updateに、この問題への対応が含まれている可能性はある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
