Oracle 发布关于 MySQL 服务的重大安全漏洞说明

来源:开源中国社区

www.oschina.net/news/92665/mysql-security-vulnerablity

Oracle官方近日发布安全公告,公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞可以在无需认证的条件下,远程利用导致拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。

漏洞编号: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562

漏洞描述:

CVE-2018-2562 MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。

MariaDB分支版本也受该漏洞影响。

CVE-2018-2591 MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

MariaDB分支版本不受该漏洞影响。

CVE-2018-2696 MySQL: sha256_password 认证长密码拒绝式攻击

该漏洞源于MySQL sha256_password认证插件,该插件没有对认证密码的长度进行限制,而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算,如果传递一个很长的密码时候,会导致CPU耗尽。而且该公式MySQL的实现中使用alloca()进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。

MySQL

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态

未公开

漏洞影响范围

具体受影响范围参见漏洞描述部分。

漏洞检测

检查是否使用了受影响版本范围内的MySQL服务。

漏洞修复建议(或缓解措施)

1.目前Oracle官方已经发布最新版本,建议自建MySQL服务用户及时手工下载更新:

MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html

MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/5.7.html

https://downloads.mariadb.org/

2.建议选择MySQL开源分支MariaDB,该分支完全兼容MySQL并提供更多功能和更好的性能。

参考信息

看完本文有收获?请转发分享给更多人

关注「数据分析与开发」,提升数据技能

本文来自企鹅号 - 数据分析与开发媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑泽君的专栏

linux命令 uname -r 和 uname -a 的解释与演示

1、uname -r : 显示操作系统的发行版号 2、uname -a :显示系统名、节点名称、操作系统的发行版号、内核版本等等。

29010
来自专栏云飞学编程

喜欢用Python做爬虫吗?进度条了解下?自制一个进度条模块!

我们在做Python爬虫脚本的时候,往往希望在运行的过程中可以实时查看到我的下载进度!之前我也一直想实现这个功能(绝对不是为了炫(装)耀(*)),也查看了很多博...

21210
来自专栏IT 指南者专栏

【SSH框架】之Struts2系列(一)

微信公众号:compassblog 欢迎关注、转发,互相学习,共同进步! 有任何问题,请后台留言联系 1、Struts2框架概述 (1)、什么是Struts2 ...

33870
来自专栏流柯技术学院

【LoadRunner】OSGI性能测试实例

Ø  确定测试登录最大并发用户数; Ø  事务平均响应时间 (两个查询) 得到这个任务 如何展开测试工作呢? 一、WindowsResources 设置(其...

13220
来自专栏韩伟的专栏

可用于集群的开源软件赏:Chef

目前我在腾讯主要负责一个服务器端软件的相关开源项目,所以接下来几天的开源内容是最近工作上积累的一些经验和想法,下图中的内容就是我目前主要的工作内容和一些小小的成...

48260
来自专栏北京马哥教育

【Django新人必看】Django安装及搭建开发环境实战细解

开笔有话说 接触django有一段时间了,发现国内网站上的django学习资料,虽然有不少,但大多有老旧的通病,所基于的版本简直是太旧了,就拿《the djan...

456120
来自专栏韩伟的专栏

高性能服务器架构思路( 五 ) : 分布式缓存

在高性能的服务器架构中,常用的缓存和分布两种策略,往往是结合到一起使用的。只有清楚的理解这些技术的原理,并且和实际的业务场景结合起来,才能真正的做出满足应用要求...

3.7K00
来自专栏Jackie技术随笔

一个简单的git开发流程

最近将手上svn的一些服务版本管理迁移到git库管理,下面简要描述一下使用的Git工作流程。

726210
来自专栏ytkah

dedecms自定义表单发布成功后返回当前页面

  dedecms的自定义表单非常的灵活,无论是用户留言、在线报名、信息收集统统都可以通过自定义表单完成。自定义表单发布成功后会跳转到表单列表页,我们又不想让别...

36240
来自专栏cyhone的专栏

重新理解IO模型

本文试图理清楚几种IO模型的根本性区别,同时分析了为什么在Linux网络编程中最好要用非阻塞式IO?

62170

扫码关注云+社区

领取腾讯云代金券