Clear
Lead Graphic Papers

Oracle เผลอปล่อยโค้ดที่ใช้ทดสอบการ DoS โปรแกรม MySQL

วันที่ประกาศ: 18 เมษายน 2555
ปรับปรุงล่าสุด: 18 เมษายน 2555
เรื่อง: Oracle เผลอปล่อยโค้ดที่ใช้ทดสอบการ DoS โปรแกรม MySQL

ประเภทภัยคุกคาม: Denial of Service

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

หลังจากที่บริษัท Oracle ได้เผยแพร่โปรแกรม MySQL เวอร์ชั่น 5.5.22 และ 5.1.62 เมื่อวันที่ 21 มีนาคม 2555 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ค้นพบไฟล์ที่นักพัฒนาใช้ในการทดสอบช่องโหว่ของระบบ (Proof of concept) ซึ่งไฟล์ดังกล่าวได้หลุดออกมาพร้อมกับโปรแกรมอัพเดต [1] [2]

ผลกระทบ

ไฟล์สคริปต์ mysql-test/suite/innodb/t/innodb_bug13510739.test เป็นไฟล์ที่นักพัฒนาใช้ในการทดสอบช่องโหว่ของระบบ ผู้โจมตีที่มีสิทธิเข้าถึงระบบของ MySQL จะสามารถสั่ง import ไฟล์สคริปต์ดังกล่าวเพื่อทำให้ระบบ MySQL ไม่สามารถทำงานต่อได้ (DoS) ตัวอย่างการโจมตีสามารถดูได้จาก http://youtu.be/RHgdUoXIDro

ระบบที่ได้รับผลกระทบ

ช่องโหว่ดังกล่าวเป็นการโจมตีผ่าน Bug หมายเลข #13510739 และ #63775 ซึ่งถูกแก้ไขแล้วในโปรแกรม MySQL เวอร์ชั่น 5.5.22 และ 5.1.62 [3] [4] ถึงแม้ว่าปัจจุบันยังไม่มีการเผยแพร่รายละเอียดของ Bug ดังกล่าว แต่ผู้ไม่หวังดีก็สามารถโจมตีผ่านช่องโหว่นี้ในระบบที่ติดตั้งโปรแกรม MySQL เวอร์ชั่นต่ำกว่า 5.5.22 หรือ 5.1.62 ได้

ข้อแนะนำในการป้องกันและแก้ไข

ปัจจุบัน บริษัท Oracle ยังไม่มีคำชี้แจงเกี่ยวกับกรณีดังกล่าว ผู้ดูแลระบบที่ติดตั้งโปรแกรม MySQL เวอร์ชั่นต่ำกว่า 5.5.22 หรือ 5.1.62 ควรทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุด

อ้างอิง

  1. http://www.h-online.com/security/news/item/Oracle-accidentally-release-MySQL-DoS-proof-of-concept-1526146.html
  2. http://eromang.zataz.com/2012/04/10/oracle-mysql-innodb-bugs-13510739-and-63775-dos-demo/
  3. http://dev.mysql.com/doc/refman/5.5/en/news-5-5-22.html
  4. http://dev.mysql.com/doc/refman/5.1/en/news-5-1-62.html
Clear