MySQL驚爆零時差漏洞，殃及MariaDB與Percona DB

資安研究人員Dawid Golunski本周揭露一MySQL的零時差安全漏洞，它是一個重大漏洞，駭客可藉此接管資料庫，且存在於所有MySQL版本中 ，並波及衍生的MariaDB與Percona DB。

Golunski所公布的漏洞編號為CVE-2016-6662 ，駭客可透過該漏洞自遠端注入惡意設定到MySQL的配置檔案中，成功的開採將讓駭客取得資料庫的最高權限，執行任意程式。Golunski已釋出針對該漏洞的概念性攻擊程式。

此一漏洞影響所有採用預設配置的MySQL伺服器，包含各種最新版本及MySQL 5.5/5.6/5.7的版本分支，從本地端或遠端皆可開採。

MySQL為全球最受歡迎的開放源碼資料庫，提供低成本及高效能的資料庫功能，包括Facebook、Google及Adobe等業者都採用。

MariaDB與Percona DB皆已修補了此一漏洞，唯獨甲骨文尚未修補，由於Golunski早在今年7月底便通知甲骨文，迄今已過了40天， 因而將該漏洞公諸於世。甲骨文可能會藉由今年10月底的每季例行更新（Critical Patch Update，CPU）解決該漏洞。

駭客可藉此接管資料庫？這樣的話，insoler網站，說不定已經被某駭客控制資料庫！