mysql_change_user()_MySQL COM_CHANGE_USER口令认证缺陷漏洞_MySQL

发布时间:2003-01-05

更新时间:2003-01-05

严重程度:高

威胁程度:控制应用程序系统

错误类型:设计错误

利用方式:服务器模式

BUGTRAQ ID:6373

CVE(CAN) ID:CAN-2002-1374

受影响系统

MySQL AB MySQL 3.22.26

MySQL AB MySQL 3.22.27

MySQL AB MySQL 3.22.28

MySQL AB MySQL 3.22.29

MySQL AB MySQL 3.22.30

MySQL AB MySQL 3.22.32

MySQL AB MySQL 3.23.2

MySQL AB MySQL 3.23.3

MySQL AB MySQL 3.23.4

MySQL AB MySQL 3.23.5

MySQL AB MySQL 3.23.8

MySQL AB MySQL 3.23.9

MySQL AB MySQL 3.23.10

MySQL AB MySQL 3.23.23

MySQL AB MySQL 3.23.24

MySQL AB MySQL 3.23.25

MySQL AB MySQL 3.23.26

MySQL AB MySQL 3.23.27

MySQL AB MySQL 3.23.28

MySQL AB MySQL 3.23.29

MySQL AB MySQL 3.23.30

MySQL AB MySQL 3.23.31

MySQL AB MySQL 3.23.34

MySQL AB MySQL 3.23.36

MySQL AB MySQL 3.23.37

MySQL AB MySQL 3.23.38

MySQL AB MySQL 3.23.39

MySQL AB MySQL 3.23.40

MySQL AB MySQL 3.23.41

MySQL AB MySQL 3.23.42

MySQL AB MySQL 3.23.43

MySQL AB MySQL 3.23.44

MySQL AB MySQL 3.23.45

MySQL AB MySQL 3.23.46

MySQL AB MySQL 3.23.47

MySQL AB MySQL 3.23.48

MySQL AB MySQL 3.23.49

MySQL AB MySQL 3.23.50

MySQL AB MySQL 3.23.51

MySQL AB MySQL 3.23.52

MySQL AB MySQL 3.23.53 a

MySQL AB MySQL 3.23.53

MySQL AB MySQL 4.0 .0

MySQL AB MySQL 4.0.1

MySQL AB MySQL 4.0.2

MySQL AB MySQL 4.0.3

MySQL AB MySQL 4.0.5 a

详细描述

MySQL 的口令认证机制存在漏洞,利用此漏洞一个经过认证的数据库用户可以劫持其他的数据库用户帐号。漏洞的原因在于当客户端发送COM_CHANGE_USER 命令后服务器使用客户端提交的一个串来比较进行口令认证。入侵者如果能猜到其他帐号口令的第一个字母就可能以那个帐号认证成功。口令的合法字符集是32个字符,也就是说恶意用户最多只要尝试32次就能攻击成功。

解决方案

厂商已经在最新版本的软件中解决了这个安全问题,请把服务器软件升级到3.23.54及其以后版本:

http://www.mysql.com

相关信息

Advisory 04/2002: Multiple MySQL vulnerabilities

http://archives.neohapsis.com/rchives/bugtraq/2002-12/0108.html

本文原创发布php中文网,转载请注明出处,感谢您的尊重!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值