現在はOracleが所有しているDB「MySQL」に深刻な脆弱性が存在し、現時点で対応されていないとのことです。
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響 - ITmedia ニュース
MySQLにゼロデイ脆弱性2件、デフォルトで影響、修正プログラムは未提供 -INTERNET Watch
【セキュリティ ニュース】「MySQL」にゼロデイ脆弱性 - 限定的なPoCが公開(1ページ目 / 全1ページ):Security NEXT
この脆弱性はセキュリティ研究者が7月末に発見、各ベンダーに報告していたようです。
これを受けて、MySQLをベースとするオープンソースDB「MariaDB」「PerconaDB」は8月末に修正パッチを提供しています。
ところが、MySQLについては現時点でも修正パッチが提供されておらず、10月18日に公開する定例パッチで対処を予定しているという、何とも緩いスケジュールを計画しているようです。
「MariaDB」「PerconaDB」の修正パッチは既に公開されており、ここから第三者が脆弱性および攻撃方法を把握できる恐れがあるため、この脆弱性の発見者が情報の公開に踏み切ったみたいです。
幸いにして、この脆弱性は高い管理権限を持つツールや、SQLインジェクションが可能なアプリを通しての攻撃が起点となるため、限定的な被害に留まる可能性があります。
ただ、Oracleの対応が遅すぎるという一例でもありますね。はぁ。
