| 网站首页 | 新闻中心 | 系统安全 | 网络安全 | 安全技术 | 下载中心 | 安全365社区 |
安全365
收藏本站
设为首页
会员登录:
站内搜索: 新闻中心 系统安全 网络安全 安全技术 下载中心
| 系统安全首页 | 漏洞分析 | 入侵检测 | 升级补丁 | 安全配置 |
Oracl 发布关于 MySQL 服务的重大安全漏洞说明
Oracl 发布关于 MySQL 服务的重大安全漏洞说明
作者:51CTO 文章来源:51CTO 点击数: 更新时间:2018/4/22 10:08:44

Oracle官方近日发布安全公告,公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞可以在无需认证的条件下,远程利用导致拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。

漏洞编号: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562

漏洞描述:

CVE-2018-2562  MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。

MariaDB分支版本也受该漏洞影响。

CVE-2018-2591  MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

MariaDB分支版本不受该漏洞影响。

CVE-2018-2696  MySQL: sha256_password 认证长密码拒绝式攻击

该漏洞源于MySQL sha256_password认证插件,该插件没有对认证密码的长度进行限制,而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算,如果传递一个很长的密码时候,会导致CPU耗尽。而且该公式MySQL的实现中使用alloca()进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。

MySQL <= 5.6.38 和MySQL <= 5.7.20 受影响。MariaDB分支版本不受该漏洞影响。

更多信息参考 :http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态:

未公开

漏洞影响范围:

具体受影响范围参见漏洞描述部分。

漏洞检测:

检查是否使用了受影响版本范围内的MySQL服务。

漏洞修复建议(或缓解措施):

1.目前Oracle官方已经发布最新版本,建议自建MySQL服务用户及时手工下载更新:

2.建议选择MySQL开源分支MariaDB,该分支完全兼容MySQL并提供更多功能和更好的性能。

参考信息:

文章录入:洋葱头    责任编辑:洋葱头 
  • 上一篇文章:

  • 下一篇文章: 没有了
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
     
     
     
    一句话查看自己MySQL是否
    麦苗街服务器安全漏洞
    借助lynis扫描Linux漏洞
    检查Linux Bash安全漏洞
    Adobe Flash绕过漏洞
    Flash Player及AIR漏洞
    OS X 10.9.4 安全漏洞
    Linux Kernel安全漏洞
    每天自动备份mysql脚本
    Linux鲜为人知的安全漏洞
    站长邮箱:webmaster@anquan365.com
    联系电话:86-10-67634029 点击这里给我发消息

    Copyright © 2006-2008 www.anquan365.com 北京华安普特网络科技有限公司 版权所有