Корпорация Oracle выпустила очередной набор исправлений для своего флагманского продукта MySQL, и среди 34 новых патчей безопасности обнаружилась по-настоящему опасная находка. Речь идёт об уязвимости CVE-2025-15467, которая получила максимальный балл 9,8 по шкале CVSS 3.1 - это критический уровень опасности. Проблема кроется в библиотеке OpenSSL, используемой в нескольких компонентах MySQL, и позволяет злоумышленнику выполнить код на сервере без каких-либо учётных данных.
Детали уязвимостей
Особенность данной уязвимости в том, что для её эксплуатации не требуется ни аутентификация, ни взаимодействие с пользователем. Атакующему достаточно отправить специально сформированный пакет по сети на уязвимый сервер, использующий протокол TLS для защищённого соединения. Причина - классическое переполнение буфера в коде OpenSSL, которое может привести к повреждению памяти и, в конечном счёте, к выполнению произвольных команд. Это означает, что злоумышленник может получить полный контроль над базой данных, украсть конфиденциальную информацию, изменить или уничтожить данные, а также использовать сервер как плацдарм для дальнейших атак на внутреннюю инфраструктуру.
Под ударом оказались сразу три продукта семейства MySQL: сам сервер MySQL (компонент Packaging, версии от 8.0.0 до 8.0.45, от 8.4.0 до 8.4.8 и от 9.0.0 до 9.6.0), утилита резервного копирования MySQL Enterprise Backup и среда разработки MySQL Workbench (до версии 8.0.46 включительно). Причём для MySQL Workbench уязвимость также имеет удалённый вектор эксплуатации без аутентификации. В официальном бюллетене Oracle указано, что патч устраняет проблему и уже включён в сборки MySQL Community Server 9.7.0, 8.4.9 и 8.0.46. Всем администраторам настоятельно рекомендуется как можно скорее обновить свои установки.
Однако CVE-2025-15467 - не единственная серьёзная проблема. Всего в этом наборе исправлений три уязвимости могут быть эксплуатированы удалённо без аутентификации. Две другие, хотя и имеют меньший рейтинг, всё же требуют внимания. Оставшаяся часть исправлений затрагивает самые разные компоненты сервера: оптимизатор запросов, парсер JSON, систему репликации, движок InnoDB, механизмы DML, индексы геопространственных данных (GIS), партицирование таблиц и обработчик схемы базы данных.
В общей сложности в релиз вошли 34 патча, а также исправления для нескольких дополнительных уязвимостей, связанных со сторонними библиотеками (libssh, curl). Например, патч для CVE-2025-5318 закрывает ещё шесть смежных проблем в библиотеке libssh, а патч для CVE-2025-14017 - ещё пять в curl. Правда, эти дополнительные уязвимости не эксплуатируются удалённо и требуют локального доступа или взаимодействия пользователя.
Обратимся к деталям менее опасных, но всё же значимых уязвимостей. Восемь проблем в компоненте Optimizer (оптимизатор запросов) получили оценку 6,5 - это уровень HIGH. Все они требуют наличия учётной записи на сервере с минимальными привилегиями, но могут быть использованы для удалённого отказа в обслуживании. Аналогичный рейтинг присвоен уязвимости в JSON-парсере (CVE-2026-34308) и трём уязвимостям в плагине групповой репликации. Отказ в обслуживании - наиболее вероятное последствие, однако для организаций, использующих MySQL в критически важных сервисах, даже временная недоступность базы может обернуться серьёзными финансовыми потерями.
Движок InnoDB, отвечающий за транзакции и хранение данных, затронут пятью уязвимостями с оценкой 4,9 (MEDIUM). Все они также требуют привилегий на сервере и приводят к отказу в обслуживании. Ещё одна группа проблем (DML, GIS, Partition, Information Schema) имеет рейтинг от 2,7 до 4,9. Некоторые из них позволяют раскрыть фрагменты памяти или повлиять на доступность, но для их использования злоумышленник уже должен иметь учётную запись с определёнными правами.
Важно отметить, что корпорация Oracle, как правило, не публикует подробности эксплуатации до выхода патча, чтобы дать пользователям время на обновление. Тем не менее, учитывая критичность CVE-2025-15467, можно предположить, что в ближайшее время появятся PoC-эксплойты (код, демонстрирующий эксплуатацию). Администраторам баз данных стоит немедленно проверить версии используемых MySQL и применить обновления, особенно если сервер доступен из внешней сети.
Для тех, кто не может выполнить обновление немедленно, рекомендуется временно ограничить сетевой доступ к порту 3306 (или другому, на котором работает MySQL) только доверенными IP-адресами, а также отключить поддержку устаревших версий протокола TLS, если это возможно. Однако такие меры лишь снижают риск, но не устраняют уязвимость полностью. Наиболее надёжный способ защиты - установка свежих версий MySQL Community Server 9.7.0, 8.4.9 или 8.0.46, которые уже содержат исправления.
Ситуация ещё раз напоминает о том, что даже зрелые и широко распространённые продукты, такие как MySQL, не застрахованы от серьёзных дефектов безопасности, особенно в сторонних библиотеках. OpenSSL используется повсеместно, и ошибка в нём может затронуть не только базы данных, но и другое программное обеспечение. На данный момент Oracle выпустила патч только для своих продуктов, но пользователям других систем, использующих ту же версию OpenSSL, стоит следить за обновлениями от соответствующих вендоров.
