有个客户用的是5.0.22的企业版mysql,用“专业的检测工具”检测后发现有一溜的安全漏洞,然后客户想要我们修复。 所谓的修复其实就是升级,所以问题就变成了哪个版本的mysql修复了这些漏洞,最好是和现在版本相近的版本以减少升级的不确定性。
所谓的“专业检测工具”估计过去应该就是类似绿盟的软件,直接匹配当前的mysql版本号与securityfocus或其他国外安装漏洞发布网站上的信息。只要这些网站上说这个版本有,它就会报有漏洞。
根据这个原理,把报出来漏洞信息逐个到google上搜索一个,搜索的时候添加上关键字 bugtraq (这个是安全漏洞在securityfocus上的编号), 一般搜索结果中就可以看到这个漏洞对应的bugtraq号。
然后在浏览器地址栏中输入http://www.securityfocus.com/bid/【bugtraq号】 就可以看到这个漏洞对应的说明了,包括那些操作系统和哪些mysql版本中有这个漏洞。在 references分页中可以看到它对应的mysql的bug号。
凡是高于securityfocus中提到的最大mysql版本号的mysql版本就是修复了该问题的版本。
例如
http://www.securityfocus.com/bid/43676
可以看到最大的5.0版本为MySQL AB MySQL 5.0.88
最大的5.1版本为MySQL AB MySQL 5.1.50
也就是说高于5.0.88的5.0版本或高于5.1.50的5.1版本的mysql都是修复了这个bug的版本。
转载请注明出自高孝鑫的博客
所谓的“专业检测工具”估计过去应该就是类似绿盟的软件,直接匹配当前的mysql版本号与securityfocus或其他国外安装漏洞发布网站上的信息。只要这些网站上说这个版本有,它就会报有漏洞。
根据这个原理,把报出来漏洞信息逐个到google上搜索一个,搜索的时候添加上关键字 bugtraq (这个是安全漏洞在securityfocus上的编号), 一般搜索结果中就可以看到这个漏洞对应的bugtraq号。
然后在浏览器地址栏中输入http://www.securityfocus.com/bid/【bugtraq号】 就可以看到这个漏洞对应的说明了,包括那些操作系统和哪些mysql版本中有这个漏洞。在 references分页中可以看到它对应的mysql的bug号。
凡是高于securityfocus中提到的最大mysql版本号的mysql版本就是修复了该问题的版本。
例如
http://www.securityfocus.com/bid/43676
可以看到最大的5.0版本为MySQL AB MySQL 5.0.88
最大的5.1版本为MySQL AB MySQL 5.1.50
也就是说高于5.0.88的5.0版本或高于5.1.50的5.1版本的mysql都是修复了这个bug的版本。
转载请注明出自高孝鑫的博客