Für die u.a. bei The Hacker News gemeldeten Root-Exploits für MariaDB gibt es noch keine Patche im Fedora Repository, auch nicht im Unstable Bereich. Da hilft nur, den möglichen Exploit durch Verschleierung zuvermeiden.
Der bereits verfügbare Testexploit, legt Dateien im /tmp/ Ordner an. Das kann man schon mal verhindern, indem beim Start mit Systemd ein privates Temp-Verzeichnis benutzt wird. Das verhindert den Hack nicht, aber die kleinen Scriptkids werden an der Hürde scheitern 😉
Wenn man sein mariadb.service File nicht geändert hat, kommt es in Fedora bereits mit der richtigen Einstellung:
[Unit]
Description=MariaDB 10.0 database server
…
# Place temp files in a secure directory, not /tmp
PrivateTmp=true
…
In der my.cnf sollte man sowieso immer das Benutzen von Symbolischen Links abschalten, eine Serverdatenbank braucht das i.d.R. nicht:
symbolic-links=0
Damit kann man auch ohne Patch CVE-2016-6662 nicht ausnutzen um seine Rechte zu eskalieren. Wer bislang „mariadb-10.0.27-1“ noch nicht eingespielt hat, sollte das trotzdem dringend nachholen.
Gegen die Lücken CVE-2016-6663 und CVE-2016-6664 sind die Patche bei Fedora noch in Arbeit. Leider ist auch im Koji noch keine Testversion ersichtlich. Die letzten Builds stammen vom Anfang des Monats, welche zudem die CVE Patche nicht enthalten. Dies kann natürlich daher rühren, daß diese Versionen nicht anfällig waren, da es sich um den 10.1.17/18 er Zweig von Mariadb handelt.
Leider stimmt die Aussage nicht.
CVE-2016-6663 is fixed as of the following versions of MariaDB Server:
MariaDB Server 10.1.18, released on September 30
MariaDB Server 10.0.28, released on October 28
MariaDB Server 5.5.52, released on September 13
https://mariadb.com/blog/update-security-vulnerabilities-cve-2016-6663-and-cve-2016-6664-related-mariadb-server
Nur gibts dafür noch keine Updates bei Fedora. Das ist ist der Stand von Heute ( hab extra gewartet 😉 ) :
* So Sep 18 2016 Honza Horak – 1:10.0.27-1
– Rebase to 10.0.27
fixes for CVE-2016-6662
– No need to replace cypher names in tests
– Skip replication test-suite during build
+++++++++++++++++++++++++++++++++++++++++++++++++++++
Da stellt sich jetzt die Frage, ob die Server vorher schon nicht von den anderen beiden Lücken betroffen waren, weil etwas anders kompiliert wurde.