Oracle 发布关于 MySQL 服务的重大安全漏洞说明
Oracle官方近日发布安全公告,公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞可以在无需认证的条件下,远程利用导致拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。
漏洞编号: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562
漏洞描述:
CVE-2018-2562 MySQL分区未指定的漏洞
漏洞源于Oracle MySQL服务器分区组件。影响5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。
MariaDB分支版本也受该漏洞影响。
CVE-2018-2591 MySQL分区未指定的漏洞
漏洞源于Oracle MySQL服务器分区组件。影响5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。
MariaDB分支版本不受该漏洞影响。
CVE-2018-2696 MySQL: sha256_password 认证长密码拒绝式攻击
该漏洞源于MySQL sha256_password认证插件,该插件没有对认证密码的长度进行限制,而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算,如果传递一个很长的密码时候,会导致CPU耗尽。而且该公式MySQL的实现中使用alloca()进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。
MySQL <= 5.6.38 和MySQL <= 5.7.20 受影响。MariaDB分支版本不受该漏洞影响。
更多信息参考 :http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
漏洞利用条件和方式:
通过PoC直接远程利用。
PoC状态:
未公开
漏洞影响范围:
具体受影响范围参见漏洞描述部分。
漏洞检测:
检查是否使用了受影响版本范围内的MySQL服务。
漏洞修复建议(或缓解措施):
1.目前Oracle官方已经发布最新版本,建议自建MySQL服务用户及时手工下载更新:
-
MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html
-
MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/5.7.html
2.建议选择MySQL开源分支MariaDB,该分支完全兼容MySQL并提供更多功能和更好的性能。
参考信息:
分类
评论
日志
友情链接
推荐
存档Archives
- 2018年4月(13)
- 2018年3月(33)
- 2018年2月(6)
- 2018年1月(41)
- 2017年12月(10)
- 2017年11月(27)
- 2017年10月(17)
- 2017年9月(17)
- 2017年8月(11)
- 2017年7月(20)
- 2017年6月(12)
- 2017年5月(31)
- 2017年4月(12)
- 2017年3月(26)
- 2017年2月(13)
- 2017年1月(21)
- 2016年12月(21)
- 2016年11月(24)
- 2016年10月(23)
- 2016年9月(12)
- 2016年8月(23)
- 2016年7月(14)
- 2016年6月(10)
- 2016年5月(7)
- 2016年4月(3)
- 2016年3月(9)
- 2016年2月(4)
- 2016年1月(6)
- 2015年12月(9)
- 2015年11月(7)
- 2015年10月(5)
- 2015年9月(8)
- 2015年8月(3)
- 2015年6月(2)
- 2015年4月(1)
- 2015年3月(1)
- 2015年1月(1)
- 2014年10月(1)
- 2014年9月(1)
- 2014年8月(1)
- 2014年7月(2)
- 2014年6月(3)
- 2014年5月(7)
- 2014年4月(10)
- 2014年3月(5)
- 2014年2月(13)
- 2014年1月(6)
- 2013年12月(8)
- 2013年11月(16)
- 2013年10月(13)
- 2013年9月(20)
- 2013年8月(31)
- 2013年7月(18)
- 2013年6月(76)
- 2013年5月(49)
- 2013年4月(33)
- 2013年3月(55)
- 2013年2月(44)
- 2013年1月(98)
- 2012年12月(84)
- 2012年11月(40)
- 2012年10月(16)
- 2012年9月(59)
- 2012年8月(123)
- 2012年7月(257)
- 2012年6月(207)
- 2012年5月(49)
- 2012年4月(24)
- 2012年3月(48)
- 2012年2月(13)
发表评论: