В конце января компания Oracle опубликовала сводный отчёт об узявимостях, устранённых в различных продуктах компании. В отчёте сообщалось, что 27 уязвимостей были исправлены в MySQL. Информация в отчёте была предоставлена только в общем виде, не дающем судить о характере проблем и реальной опасности от эксплуатации данных уязвимостей. С момента публикации отчёта прошло уже несколько недель, но подробности так и не опубликованы.
В связи с подобным сокрытием информации производители Linux-дистрибутивов оказались в тупике, так как не ясно какие исправления нужно бэкпортировать в поддерживаемые пакеты с MySQL. Информация об уязвимостях ограничивается номером CVE, уровнем опасности, информацией по веткам MySQL и не несущим особого смысла однострочным описанием. Интересно, что подобный отчёт (Critical Patch Update) для MySQL выпускается первый раз, поэтому непонятно за какой период там собраны уязвимости (написано, что включена информация о всех уязвимостях, исправленных с момента прошлого отчёта, но загвоздка в том, что это первый отчёт). Тем не менее, компания Rad Hat вчера выпустила обновление для пакета mysql-libs-5.1.61 из состава RHEL 6, в котором устранено выявленных 17 уязвимостей (Oracle заявлала об исправлении 27). Исправления для Oracle Linux полностью копируютданное обновление без дополнительных правок.
Наиболее вероятно, что в отчёте Oracle опубликованы данные об уязвимостях, уже исправленных по мере выхода новых Community-выпусков MySQL. Как правило в корректирующих выпусках устраняется несколько ошибок, позволяющих вызвать крах процесса через выполнение специально оформленного SQL-запроса. Общие данные в отчёте показывают, что большинство упомянутых уязвимостей имеют именно такой характер, т.е. позволяют инициировать крах СУБД через выполнение специально оформленного SQL-запроса аутентифицированным пользователем. Дополнительно одна DoS-уязвимость позволяет вызвать отказ в обслуживании не аутентифицированным пользователем, две уязвимости позволяют аутентифицированным пользователем получить доступ к закрытым данным, одна уязвимость позволяет локальному пользователю поднять свои привилегии.
Производители ответвлений от MySQL, таких как MariaDB, столкнулисьс не меньшими трудностями: не понятно проявляются ли данные уязвимости для их веток, связанны ли уязвимости с известными ошибками, уже исправленными в ходе обычного процесса исправления ошибок, или это принципиально новые проблемы. Результаты попыток выяснить подробности к Oracle завершаются советом использовать самые свежие версии MySQL (речь о MySQL Enterprise с последним Critical Patch Update) в которых данные уязвимости уже исправлены.
Окончательная путаница возникла после появления неподтверждённого заявления об обнаружении в последнем выпуске MySQL опасной 0-day уязвимости, позволяющей удалённо атаковать MySQL-серверы. Сообщается, что уже создан работающий эксплоит, который успешно работает при использовании на сервере пакета mysql-5.5.20-debian6.0-i686.deb из состава Debian GNU/Linux. Подтверждённой информации по данной уязвимости пока нет, также не понятно новая это уязвимость или уязвимость из числа 27 проблем в списке Oracle.