COM_CHANGE_USER口令缺陷漏洞

最新推荐文章于 2024-09-20 11:36:37 发布
最新推荐文章于 2024-09-20 11:36:37 发布
阅读量379 收藏
点赞数
分类专栏: 数据库 文章标签: user 服务器软件 服务器 数据库 mysql
<script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>

发布时间:2003-01-05
更新时间:2003-01-05
严重程度:高
威胁程度:控制应用程序系统
错误类型:错误
利用方式:服务器模式

BUGTRAQID:6373
CVE(CAN)ID:CAN-2002-1374

受影响系统

MySQLABMySQL3.22.26
MySQLABMySQL3.22.27
MySQLABMySQL3.22.28
MySQLABMySQL3.22.29
MySQLABMySQL3.22.30
MySQLABMySQL3.22.32
MySQLABMySQL3.23.2
MySQLABMySQL3.23.3
MySQLABMySQL3.23.4
MySQLABMySQL3.23.5
MySQLABMySQL3.23.8
MySQLABMySQL3.23.9
MySQLABMySQL3.23.10
MySQLABMySQL3.23.23
MySQLABMySQL3.23.24
MySQLABMySQL3.23.25
MySQLABMySQL3.23.26
MySQLABMySQL3.23.27
MySQLABMySQL3.23.28
MySQLABMySQL3.23.29
MySQLABMySQL3.23.30
MySQLABMySQL3.23.31
MySQLABMySQL3.23.34
MySQLABMySQL3.23.36
MySQLABMySQL3.23.37
MySQLABMySQL3.23.38
MySQLABMySQL3.23.39
MySQLABMySQL3.23.40
MySQLABMySQL3.23.41
MySQLABMySQL3.23.42
MySQLABMySQL3.23.43
MySQLABMySQL3.23.44
MySQLABMySQL3.23.45
MySQLABMySQL3.23.46
MySQLABMySQL3.23.47
MySQLABMySQL3.23.48
MySQLABMySQL3.23.49
MySQLABMySQL3.23.50
MySQLABMySQL3.23.51
MySQLABMySQL3.23.52
MySQLABMySQL3.23.53a
MySQLABMySQL3.23.53
MySQLABMySQL4.0.0
MySQLABMySQL4.0.1
MySQLABMySQL4.0.2
MySQLABMySQL4.0.3
MySQLABMySQL4.0.5a

详细描述
MySQL的口令认证机制存在漏洞,利用此漏洞一个经过认证的用户可以劫持其他的数据库用户帐号。漏洞的原因在于当客户端发送 COM_ CHANGE_ USER命令后服务器使用客户端提交的一个串来比较进行口令认证。入侵者如果能猜到其他帐号口令的第一个字母就可能以那个帐号认证成功。口令的合法字符集是32个字符,也就是说恶意用户最多只要尝试32次就能攻击成功。

解决方案
厂商已经在最新版本的中解决了这个问题,请把服务器软件升级到3.23.54及其以后版本:

http://www.mysql. COM

相关信息
Advisory04/2002:MultipleMySQLvulnerabilities
http://archives.neohapsis. COM/archives/bugtraq/2002-12/0108.html <script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
zgqtxwd
关注
专栏目录
web漏洞检测项
千寻的博客
05-22 720
文章目录常规web漏洞检查列表注入漏洞XSS安全配置错误登录认证缺陷敏感信息泄露权限控制不严格跨站请求伪造 (CSRF)使用了存在漏洞的组件其他类型漏洞其他漏洞已公开高危漏洞业务逻辑漏洞检测列表登录注册密码找回购买支付充值抽奖/活动代金卷/优惠卷订单账户用户信息后台管理业务查询业务查询传输过程评论第三方商家 常规web漏洞检查列表 注入漏洞 HTML注入-反射性(GET)(POST)(Current URL) HTML注入-存储型 iFrame注入 LDAP注入(Search) 邮件Header注入 PH
linux ssh秘钥删除_十分钟学会SSH+SFTP操作终端,告别XShell
weixin_39963174的博客
11-20 1970
推荐阅读(点击即可跳转阅读)1. SpringBoot内容聚合2. 面试题内容聚合3. 设计模式内容聚合4. 排序算法内容聚合5. 多线程内容聚合1.前言在Mac下登陆远程服务器并没有Windows那么方便的使用XShell,相比较而言,在Mac下更多的是依赖终端输入SSH命令登陆远程服务器。使用SSH命令行的好处就是可以近距离接触底层,用的越多,用的越溜,对SSH的原理就越了解。相反,使用现成的...
mysqli_change_user() 函数
冷月醉雪的博客
03-31 283
查看更多 https://www.yuque.com/docs/share/328718dc-a5ed-4bd4-9904-befc552f4026
mysql_change_user()_MySQL COM_CHANGE_USER口令认证缺陷漏洞_MySQL
weixin_32653933的博客
02-07 256
发布时间:2003-01-05更新时间:2003-01-05严重程度:高威胁程度:控制应用程序系统错误类型:设计错误利用方式:服务器模式BUGTRAQ ID:6373CVE(CAN) ID:CAN-2002-1374受影响系统MySQL AB MySQL 3.22.26MySQL AB MySQL 3.22.27MySQL AB MySQL 3.22.28MySQL AB MySQL 3.22.2...
mysql 协议说明_MySQL 通信协议介绍
weixin_39631667的博客
01-19 606
MySQL 通信协议介绍1、数据类型了解MySQL协议包之前必需先知道其数据类型1.1 Integer Types 整数类型(1)定长整型固定长度, 小端编码, 有下面几种(括号内的代表所占字节数):int<1>int<2>int<3>int<4>int<6>int<8>(2)变长整型可能长度为1, 3, 4, 9 个字节, ...
mysql 结束符报错_MySQL协议分析
weixin_39861823的博客
12-18 516
目录目录1 交互过程1.1 握手认证阶段1.2 命令执行阶段2 基本类型2.1 整型值2.2 字符串(以NULL结尾)(Null-Terminated String)2.3 二进制数据(长度编码)(Length Coded Binary)2.4 字符串(长度编码)(Length Coded String)3 报文结构3.1 消息头3.1.1 报文长度3.1.2 序号3.2 消息体4 报文类型4.1...
Mysql 5.X版本整体介绍
zcg19911222的博客
10-09 1410
本文主要介绍Mysql整体架构、InnoDB引擎架构,同时对Mysql的C/S协议、InnoDB的关键特性也作了说明。
weblogic漏洞总结复现
1ance's blog
10-07 2417
title: weblogic漏洞总结复现 date: 2021-10-02 22:05:37 updated: tags: weblogic 中间件 漏洞 categories: 漏洞复现 keywords: description: top_img: cover: weblogic.jpg 简介 WebLogic是美国Oracle公司出品的一个application server确切的说是一个基于JAVAEE架构的中间件,BEA WebLogic是用于开发、集成、部署和管理大型分布式Web应用.
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
国产化操作系统改造实践(未完)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-10 6255
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)
weixin_42309324的博客
07-27 666
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵? 一、是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root
MySQL协议分析
风行天下
02-27 1万+
目录 目录1 交互过程 1.1 握手认证阶段1.2 命令执行阶段 2 基本类型 2.1 整型值2.2 字符串(以NULL结尾)(Null-Terminated String)2.3 二进制数据(长度编码)(Length Coded Binary)2.4 字符串(长度编码)(Length Coded String) 3 报文结构 3.1 消息头 3.1.1
sp_change_users_login使用
08-08 3329
将用户名映射为指定的登录名: exec sp_change_users_login 'UPDATE_ONE','用户名','登录名' 例子: 将数据库testDB 中用户user1和登录名login1关联起来: exec sp_change_users_login 'UPDATE_ONE','user1','login1' 这个方法在还原数据库备份之后经常用到。
伊犁职业技术学院linux 部署教学用首先创建两台linux 主机
最新发布
weixin_44548030的博客
09-20 204
2 主机 地址 192.168.200.10 备机 192.168.200.20。另外一台机子也是如此配置流程一样,主要是地址改为 192.168.200.20 不再重复。1 一台是主机 一台是克隆 能够正常通信,虚拟机全局采用nat 模式。在我们的root 用户上进行配置。最终两台linux 主机能通。
VMware安装rustdesk服务器
Morze的博客
09-20 287
首先准备服务器镜像:22.04虚拟机硬件配置选1G RAM 20G ROM就行。
如何在Android上实现RTSP服务器
乐学吧
09-17 2155
Android上实现RTSP服务器是一个极具挑战的任务,功能设计这块,除了需要支持接编码前音视频数据外,还需要支持对接编码后音视频数据,并实现本地录像、快照等功能组合使用。需要注意的是,就像海康、大华的摄像头一样,对外的并发,一般限于4-8个,Android设备的性能一般来说,可能不足以处理高负载的RTSP服务器,但是小并发模式下,能稳定的运行,就达到设计初衷了。
海外服务器哪个速度最快且性能稳定
IDC_USA的博客
09-18 538
海外服务器的速度与性能稳定性受多种因素影响,包括地理位置、网络架构、基础设施质量以及用户网络路径等。在众多选择中,几个特定地区的服务器因其卓越表现而备受推崇。
拥控算法BBR入门1
wangkai6666的博客
09-17 944
一个TCP会话使用的拥塞控制算法只与本地有关。两个TCP系统可以在TCP会话的两端使用不同的拥塞控制算法。
CNC_CHANGE V1.0.0 安装与使用指南
"CNC_CHANGE软件是一款专用于CNC(计算机数控)设备的运动控制软件,主要功能是将G-code编程语言转换成特定的、加密优化的.jg文件格式,以便于公司的手柄设备进行加工操作。该软件适用于Windows XP SP2/SP3以及Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值