Lunes, 17 February 2020 11:23

Vulnerabilidad alta en MariaDB

El CERT de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en MariaDB.

Nivel de Criticidad: ALTO

CVE-2020-7221: Una vulnerabilidad ha sido encontrada en MariaDB (sistema de gestión de bases de datos multiusuario y multihilo, compatible con MySQL ya que posee las mismas órdenes, interfaces, API y bibliotecas). El fallo reside en el script "mysql_install_db", ya que las operaciones con los comandos de uso de archivos y directorios "chown" y "chmod" se realizan de manera insegura. Esta vulnerabilidad en MariaDB, con afectación a su motor de base de datos, permitiría a un atacante realizar una escalada de privilegios a root en el sistema afectado.

La vulnerabilidad CVE-2020-7221 ha recibido una puntuación de 7.2 según la escala CVSSv2 de la base de datos del NIST. Esto es debido a que el fallo es explotable de forma local, con una complejidad baja, sin autenticación alguna y una explotación exitosa supondría un impacto completo. Por el momento, no se ha detectado actividad maliciosa en la red relacionada con la vulnerabilidad.

Recursos afectados

  • La vulnerabilidad afecta a MariaDB desde la versión 10.4.7 (incluida) hasta la versión 10.4.11 (incluida).

Solución a la vulnerabilidad

Para solucionar la vulnerabilidad se recomienda actualizar a la última versión estable, MariaDB 10.4.12, disponible aquí para su descarga.

Recomendaciones

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, se desconocen medidas de mitigación alternativas a la propia actualización lanzada por MariaDB, para solucionar esta vulnerabilidad.

Referencias

Visto 221 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa