Oracle по ошибке опубликовала PoC-код к уязвимости в MySQL

Компания Oracle недавно при публикации исправлений уязвимостей в MySQL по ошибке опубликовала PoC-код к уязвимости отказа в обслуживании. Напомним, что в марте этого года Oracle выпустила обновление 5.5.22, в котором исправила несколько уязвимостей. Подробная информация об уязвимостях компанией не  разглашалась, так как они могут быть проэксплуатированы в более ранних версиях приложения.

Исследователь безопасности Ерик Романг (Eric Romang) обнаружил в новых версиях MySQL сценарий для разработчиков mysql-test/suite/innodb/t/innodb_bug13510739.test, который являясь частью функционала автоматического тестирования, содержит PoC-код бреши, которая вызывает аварийное завершение работы MySQL 5.5.21 и более ранних версий, а затем опубликовал его в Pastebin. Для успешной эксплуатации уязвимости необходимо осуществить аутентификацию, а также получить определенные привилегии.

Таким образом, попытка сокрытия подробностей уязвимости не принесла никакого результата, так как потенциальный злоумышленник может воспользоваться предоставленным компанией PoC-кодом для разработки функционального эксплоита.

Редакция SecurityLab рекомендует системным администраторам в кратчайшие сроки обновить MySQL до актуальной версии.