概要
Talos は本日、MySQL Multi-Master Manager で新たに確認された脆弱性の詳細を公開しました。このマネージャは、MySQL マスター/マスター レプリケーション構成のモニタリング、フェールオーバー、管理を実行するために使用され、MySQL MMM(Multi-Master Replication Manager for MySQL)を使用することで、一度に 1 つのノードのみが書き込み可能になるようにします。また、レプリケーション ステータスに基づき、エンド ユーザは MySQL MMM を使用して、仮想 IP アドレスを異なるサーバに移動させることを選択できます。
TALOS-2017-501 – MySQL Multi-Master Manager のリモート コマンド インジェクションの脆弱性(CVE-2017-14474 – CVE-2017-14481)
複数の不正利用可能なリモート コマンド インジェクションの脆弱性は、MySQL Multi-Master Replication Manager(MMM)の mmm_agentd デーモン 2.2.1 に存在します。mmm_agentd は通常、ルート権限で実行され、デフォルトでは認証を必要としません。巧妙に細工された MMM プロトコル メッセージによって、シェル コマンド インジェクションが引き起こされ、結果として mmm_agentd プロセスの権限で任意のコマンドが実行される可能性があります。mmm_agentd で TCP セッションを開始できる攻撃者は、これらの脆弱性をトリガーできます。脆弱性に関する詳細はこちらをご覧ください。
既知の脆弱性バージョン
MMM 2.2.1
http://mysql-mmm.org/
カバレッジ
この悪意ある試行は、以下の Snort ルールにより検出可能です。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、FireSIGHT Management Center または Snort.org を参照してください。
Snort ルール:45089
本稿は 2018年5月7日に Talos Group のブログに投稿された「Vulnerability Spotlight: MySQL Multi-Master Manager Remote Command Injection Vulnerability」の抄訳です。