02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Oracle по ошибке опубликовала PoC-код к уязвимости в MySQL

Компания Oracle недавно при публикации исправлений уязвимостей в MySQL по ошибке опубликовала PoC-код к уязвимости отказа в обслуживании. Напомним, что в марте этого года Oracle выпустила обновление 5.5.22, в котором исправила несколько уязвимостей. Подробная информация об уязвимостях компанией не разглашалась, так как они могут быть проэксплуатированы в более ранних версиях приложения.

Исследователь безопасности Ерик Романг (Eric Romang) обнаружил в новых версиях MySQL сценарий для разработчиков mysql-test/suite/innodb/t/innodb_bug13510739.test, который являясь частью функционала автоматического тестирования, содержит PoC-код бреши, которая вызывает аварийное завершение работы MySQL 5.5.21 и более ранних версий, а затем опубликовал его в Pastebin. Для успешной эксплуатации уязвимости необходимо осуществить аутентификацию, а также получить определенные привилегии.

Таким образом, попытка сокрытия подробностей уязвимости не принесла никакого результата, так как потенциальный хакер может воспользоваться предоставленным компанией PoC-кодом для разработки функционального эксплоита.{jcomments on}