应用CVE: 最新的Mysql高危漏洞介绍

已于 2024-01-16 15:29:45 修改
阅读量916 收藏
点赞数
文章标签: mysql 数据库 oracle 网络安全 高危漏洞
于 2023-02-22 23:45:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/129171791
版权

MySQL官方最近做了一个大的安全漏洞补丁,修复了25 个安全漏洞,关于这些漏洞细节官方和媒体目前为止还有比较少的介绍和分析文章。在此笔者搜集下相关的详细,从邮件讨论组趴到一些细节信息,在此介绍一下几个比较重要的、高危的漏洞。包括CVE-2018-2696,CVE-2018-2591和CVE-2018-2562。

CVE-2018-2696 mysql: sha256_password 认证长密码拒绝式攻击

该漏洞源于MySQL sha256_password认证插件,该插件没有对认证密码的长度进行限制,而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算,如果传递一个很长的密码时候,会导致CPU耗尽。而且该公式Mysql的实现中使用alloca()进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。

MySQL <= 5.6.38 和MySQL <= 5.7.20 受影响。mariadb分支版本不受该漏洞影响。

**CVE-2018-2562 MySQL****分区未指定的漏洞**

漏洞源于 Oracle MySQL 服务器分区组件。影响5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。

mariadb分支版本也受该漏洞影响。

**CVE-2018-2591 MySQL****分区未指定的漏洞**

漏洞源于 Oracle MySQL 服务器分区组件。影响5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

mariadb分支版本不受该漏洞影响。

更多信息参考 :www.oracle.com/technetwork…

漏洞利用条件和方式:

目前还未有具体的POC,但是通过漏洞介绍,三者都可以通过远程攻击。

漏洞防范和修复:

1、目前Oracle官方已经最新版本,建议自建MySQL服务用户及时手工下载更新:

  • downloads.mariadb.org/* 2、防火墙或者云安全组限制mysql端口(默认为3306)限制mysql访问。* 3、建议选择Mysql开源分支mariadb,该分支完全兼容mysql并提供更多功能和性能。参考信息:

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:

# 网络安全学习方法

上面介绍了技术分类和学习路线,这里来谈一下学习方法:

## 视频学习

无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

修复KYSA-202209-1065:zlib高危安全漏洞(CVE-2022-37434)
路~可以走过
01-08 401
修复KYSA-202209-1065:zlib高危安全漏洞(CVE-2022-37434)
HSS针对官方披露漏洞的修复建议-OpenSSL高危漏洞CVE-2020-1967)
2403_89345625的博客
11-29 1268
OpenSSL安全公告称存在一个影响OpenSSL 1.1.1d、OpenSSL 1.1.1e、OpenSSL 1.1.1f的高危漏洞CVE-2020-1967),该漏洞可被用于发起DDoS攻击。
mysql5 注入漏洞
10-30
mysql5注入漏洞代码
mysql5.6漏洞_MySQL 5.6.24 Buffer Overflow
weixin_42297904的博客
01-18 948
===========================================================Advanced Information Security CorporationSecurity Advisory===========================================================a888b.d888888b.8P"YP"Y88...
网络安全常用术语解读 」通用漏洞披露CVE详解_cve漏洞
最新发布
jennycisp的博客
02-24 835
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞,具体的漏洞清单可以点击下载,访问密码6277。举例。
centos升级mysql5.6漏洞修复
qq_36378416的博客
05-12 906
一定要保留和备份原来的mysql 数据库服务及 数据,只有新的mysql服务启动并导入数据成功后,在进行服务替换操作。确保本机原来的服务停止,新的服务占用3308端口,配置和原来保持一致。新服务可用后,将开机自启服务替换为新的服务。
等级保护测评之MySQL安全漏洞
Wmh的博客
10-09 2246
等级保护测评之MySQL安全漏洞
刻不容缓 Mysql5.6 升级到 Mysql8.4 近期安全漏洞频发 CVE-2024-20960 CVE-2024-(21015/21090/20994)
tonyhi6的博客
05-20 1051
刻不容缓 Mysql5.6 升级到 Mysql8.4 近期安全漏洞频发 CVE-2024-20960 CVE-2024-(21015/21090/20994)
OpenSSL国密爆出8.1分高危漏洞CVE-2021-3711
YDclub的博客
09-03 4053
背景 OpenSSL是一个知名的开源安全套接字层密码库。全球成千上万的web服务器的网站加密技术使用OpenSSL。 网银、在线支付、电商网站、门户网站、电子邮件等互联网应用广泛使用OpenSSL实现数据的安全传输和安全存储。 历史上,OpenSSL多次出现安全漏洞。 2014年,OpenSSL爆出Heartbleed(心脏滴血)漏洞,网络出现了“致命内伤”。 心脏滴血称为互联网安全历史上最严重的漏洞之一,当时全球三分之二的网站可被该漏洞攻击。 心脏滴血漏洞CVE编号是CVE-2014-016
mysql8.0的高危漏洞 CVE-2023-21980
05-17
可能是您打错了数字,如果是想问 MySQL 8.0 存在的高危漏洞,目前已知的高危漏洞有: 1. CVE-2020-14883:攻击者可以通过网络访问 MySQL 服务器,利用该漏洞执行未授权的任意代码。 2. CVE-2021-2022:攻击者可以...
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析
gg1229505432的博客
02-13 5717
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析
Oracle MySQL 5.5和5.6正受到Riddle漏洞影响,请立即更新到5.7!丨附下载
weixin_34195364的博客
04-20 265
2019独角兽企业重金招聘Python工程师标准>>> ...
等保三级整改建议——mysql5.6.51
m0_64546445的博客
03-18 1338
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。由于mysql5.6.51没有default_password_lifetime 函数所以我们可以使用脚本来实现密码更换日期b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;设置连接超时设置登录次数限制c) 当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;我们需要使用openssl生成证书和秘钥然后将配置文件修改为启用ssl;
mysql riddle_Oracle MySQL 5.5和5.6正受到Riddle漏洞影响,请立即更新到5.7!
weixin_39830205的博客
01-19 101
流行的数据库管理系统(DBMS)Oracle MySQL 中发现了被称为“The Riddle”的编码漏洞,该漏洞允许攻击者利用MiTM(man-in-the-middle,中间人)来窃取用户的用户名和密码等登录凭证。用户请立即更新到5.7版本。中间人攻击(MiTM)MiTM 攻击(Man-in-the-MiddleAttack)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控...
bugtraq mysql_Oracle MySQL Server 远程安全漏洞(CVE-2014-4260)_MySQL
weixin_39834149的博客
01-26 337
SQLServer2014发布日期:2014-07-16更新日期:2014-07-16受影响系统:OracleMySQL Server <= 5.6.17Oracle MySQL Server <= 5.5.37描述:--------------------------------------------------------------------------------BUGTR...
mysql riddle漏洞_MySQL曝中间人攻击Riddle漏洞可致用户名密码泄露的处理方法
weixin_36269141的博客
01-19 145
针对MySQL 5.5和5.6版本的Riddle漏洞会经由中间人攻击泄露用户名密码信息。请尽快更新到5.7版本。Riddle漏洞存在于DBMS Oracle MySQL中,攻击者可以利用漏洞和中间人身份窃取用户名和密码。“Riddle是一个在Oracle MySQL 5.5和5.6客户端数据库中发现的高危安全漏洞。允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配...
Mysql本地提权漏洞/写my.cnf文件命令执行漏洞
热门推荐
Exploit的小站~
05-10 1万+
0x00 漏洞影响 MySQL <= 5.7.15远程代码执行/ 提权 (0day) 5.6.33 5.5.52 Mysql分支的版本也受影响,包括: MariaDB PerconaDB 0x01 条件 (1)可以在低权(需要有FILE权限)账户下执行 (2)可以执行sql,最好是个webshell或者phpmyadmin里 (3)Mysql 5.5版本以上 ...
mysql 5.2安全漏洞_MySQL远程安全漏洞CVE-2018-2775 5.7.21之前所有版本受影响
weixin_39672443的博客
01-19 1321
近日,Oracle MySQL爆出远程安全漏洞CVE编号CVE-2018-2775,SecurityFocus称Oracle MySQL服务器在“Server: Optimizer”组件中容易出现远程安全漏洞,该漏洞可以通过“MySQL”协议利用。MySQL 5.7.21之前所有版本受影响。SecurityFocus及Oracle发布预警通告,相关信息如下推荐阅读:CVE-2018-2775漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值