[漏洞预警]MySQL代码执行漏洞（CVE-2016-6662）

一、漏洞描述和危害

MySQL 中的 logging 功能设置不当，导致外部攻击者能以一个低权限（拥有 SELECT 和 FILE 权限）的 MySQL 账号，通过修改 my.cnf 文件达到运行任意代码的目的。攻击者可通过对外开放的 MySQL 服务，或者是基于 Web 的 MySQL 管理应用，甚至是 SQL 注入漏洞实施攻击。由于大部分 MySQL 服务都是以系统 Root 账号运行，因此黑客一旦成功利用漏洞，则可以控制整个服务器，危害十分严重。

二、受影响的软件及系统

MySQL <= 5.7.15

MySQL <= 5.6.33

MySQL <= 5.5.52

MySQL 分支的版本也受影响，包括：

MariaDB

PerconaDB

三、修复方案

1、将 MySQL 所有账号的密码改为强密码，建议使用十位以上数字+字母+特殊符号的强密码。

2、整理 MySQL 中存在 FILE 权限的账号列表，去掉不必要的 FILE 权限。

3、及时关注 MySQL 官方发布的补丁。