Sono state scoperte due vulnerabilità in MySQL che possono consentire ad un attaccante locale, con accesso a bassi privilegi ad un database affetto, di elevare i propri privilegi ed eseguire codice arbitrario. Oracle MySQL è un RDBMS di libero utilizzo disponibile sia per sistemi Unix/Linux, sia per Microsoft Windows.
Al momento non ci sono notizie che queste vulnerabilità siano state sfruttate in attacchi reali. Il ricercatore che ha individuato le vulnerabilità ha reso disponibili degli exploit proof-of-concept.
Risultano affette dalle vulnerabilità descritte in questo bollettino le seguenti versioni di MySQL:
MySQL versione 5.7.14 e precedenti
MySQL versione 5.6.32 e precedenti
MySQL versione 5.5.51 e precedenti
Sono disponibili aggiornamenti che risolvono queste vulnerabilità in MySQL e in altri prodotti basati o derivati da MySQL, tra cui MariaDB e PerconaDB. Si raccomanda agli utenti e agli amministratori di database MySQL, MariaDB o PerconaDB di installare al più presto gli aggiornamenti disponibili per la propria piattaforma, dopo appropriato testing.
