พบช่องโหว่แบบ Zero-day ที่ร้ายแรงสองตัวบนระบบฐานข้อมูลที่ได้รับความนิยมมากที่สุดเป็นอันดับสองของโลกอย่าง MySQL ซึ่งเปิดช่องให้แฮ็กเกอร์เข้าควบคุมฐานข้อมูลได้อย่างสมบูรณ์ อันได้แก่ CVE-2016-6662 และ CVE-2016-6663 ซึ่งกระทบกับ MySQL ทุกรุ่น รวมไปถึง MariaDB และ PerconaDB อีกด้วย
ช่องโหว่นี้ทำให้แฮ็กเกอร์ใส่ข้อมูลการตั้งค่าที่เป็นอันตรายลงในไฟล์การตั้งค่าของ MySQL หรือบังคับให้สร้างขึ้นมาด้วยตัวโปรแกรมเอง ไม่ว่าจะผ่านการทำ SQL Injection หรือการเข้าถึงฐานข้อมูลของ MySQL โดยไม่ได้รับอนุญาต ซึ่งทั้ง MariaDB และ PerconaDB ได้ออกแพ็ตช์มาอุดรอยรั่วแล้ว แต่ยังไม่มีเสียงตอบรับจากทาง Oracle
สำหรับวิธีแก้ปัญหาชั่วคราวระหว่างรอ Oracle จัดการนั้น ควรทำให้แน่ใจว่า ไม่มีไฟล์การตั้งค่า MySQL ไฟล์ไหนที่มีผู้ใช้ของ MySQL ได้สิทธิ์เป็นเจ้าของ รวมทั้งให้สร้างไฟล์ my.cnf ปลอมบน Root สำหรับไฟล์ที่ไม่ได้มีการใช้งานไว้
วิธีข้างต้นเป็นเพียงการแก้ปัญหาเฉพาะหน้าเท่านั้น ทั้งนี้ ควรรีบติดตั้งแพ็ตช์โดยเร็วเมื่อ Oracle พร้อมให้โหลด
อ่านเพิ่มเติมที่นี่ – http://thehackernews.com/2016/09/hack-mysql-database.html
