mysql 连续登陆漏洞,MySQL 紧急 Bug - 用户登陆漏洞

最新推荐文章于 2021-12-18 10:34:22 发布
最新推荐文章于 2021-12-18 10:34:22 发布
阅读量189 收藏
点赞数
文章标签: mysql 连续登陆漏洞

MySQL 严重 Bug - 用户登陆漏洞

Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。

受影响的版本:

All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.

MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.

MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.

详情请点击这里

============== 补充说明 ==================

这个 Bug 在官方编译的版本中没有发现。如果你是下载的源码,然后自己编译的就有可能遇到这个问题。

这个问题和 memcmp() 这个函数的返回值有关系。目前知道的情况来看,gcc 自带的 memcmp 是安全的,BSD libc 的 memcmp 是安全的。Linux glibc sse 优化过的 memcmp 会有这个问题。

shell:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

mysql>

林道蕴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关系型数据库+Mysql+查询用户连续登陆天数+数据统计
06-25
关系型数据库+Mysql+查询用户连续登陆天数+数据统计 关系型数据库+Mysql+查询用户连续登陆天数+数据统计 关系型数据库+Mysql+查询用户连续登陆天数+数据统计 关系型数据库+Mysql+查询用户连续登陆天数+数据统计 关系...
Mysql 身份认证绕过漏洞(CVE-2012-2122)
lonmar的博客
07-24 2643
参考连接: https://www.freebuf.com/vuls/3815.html 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现 受影响版本: MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 ar
MySQL 概率性任意密码_MariaDB/MySQL 概率性任意密码(身份认证)登录漏洞(CVE-2012-2122)...
weixin_34725044的博客
01-19 446
### $Id$##### This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the Metasploit# web site for more information on licensing and...
使用Metasploit对MySQL进行渗透测试
渗透测试
06-04 1828
文章目录前言一、db_nmap扫描1 常用nmap参数介绍2 具体过程二、查看版本1 介绍功能2 具体过程三、暴力破解密码1 介绍功能2 具体过程四、收集信息1 枚举数据库信息①介绍功能②具体过程2 导出密码hash①介绍功能②具体过程五、mysql认证漏洞利用1 介绍功能2 具体过程六、Mof提权1 介绍功能2 具体过程总结 前言 本文详细介绍了如何使用metasploit对mysql进行简单渗透测试 一、db_nmap扫描 使用外置和内置的都行,使用metasploit内置的nmap需要启动post
Linux使用技巧
零點的专栏
11-01 456
1. 查找当前目录(包括子目录)文件中的字符 grep -r "所要查找字符" * 2. 循环使用 for i in `seq 1 1000`; do echo "$i";done 执行1000次echo 3. 自定制命令 将alias self_bin = 'cd /home/self_bin' 放在/root/.bashrc中 然后source /root/.bashrc中 在命
MySQL身份认证绕过漏洞(CVE-2012-2122)
qq115399231的博客
07-16 3310
漏洞介绍 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 这个缺陷的根源在于memcmp()函数总是返回-128到127(有符号字符)范围内的值。也就是说,只有在Linux系统使用SSE优化库(GNU C库)的场合下才能被利用,成功触发这一漏洞的概率约为1:256。 受影响版...
最新MySQL数据库漏洞情况通报
12-15
近日,互联网上披露了关于MySQL数据库存在代码执行漏洞( CNNVD-201609-183 )的情况。由于MySQL数据库默认配置存在一定缺陷,导致攻击者可利用该漏洞对数据库配置文件进行篡改,进而以管理员权限执行任意代码,远程...
mysql 5.0.45 (修改)拒绝服务漏洞
09-11
mysql 5.0.45 (修改)拒绝服务漏洞的方法,追求安全的朋友可以参考下。
php+mysql实现用户注册登陆的方法
10-24
主要介绍了php+mysql实现用户注册登陆的方法,可实现简单的用户注册登录的功能,具有一定参考借鉴价值,需要的朋友可以参考下
基于ssm-mysql-ssm软件bug管理系统-源码
最新发布
03-02
基于ssm_mysql_ssm软件bug管理系统_源码 java毕设项目,源码齐全,java+SSM+MySql 开发环境: 项目推荐使用IDEA(eclipse也可) Tomcat版本为 8.5.42。 数据库为mysql 5.7。 JDK版本为1.8_211。 项目使用Spring+...
linux shell seq的用法
热门推荐
轻飘飞扬
09-14 2万+
用于产生从某个数到另外一个数之间的所有整数 例一: # seq 1 10 结果是1 2 3 4 5 6 7 8 9 10 例二: #!/bin/bash for i in `seq 1 10`; do echo $i; done 或者用 for i in $(seq 1 10) 也可以 seq -f, --format=FORMAT      use printf st
mysql 安全bug
cudi7618的博客
06-14 79
你的遇到了没有? 试试吧: $ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done官方分发的二进制版本...
MySQL 备份/数据批量指定恢复
jiangbenchu的博客
03-03 332
备份脚本 mysql -h IP地址 -u 用户名 -p'密码' -e "show databases" | grep -Ev "要过滤的数据库" | xargs mysqldump -h IP地址 -u 用户名 -p'密码' --single-transaction --databases | gzip > /保存的路径/$(用日期做文件名).sql.gz mysql -h 172.21....
删库不必跑路!详解 MySQL 数据恢复
民工哥的博客
08-04 725
日常工作中,总会有因手抖、写错条件、写错表名、错连生产库造成的误删库表和数据的事情发生。但是,如果每次删库都跑路的话,怕是再也不好找工作了吧!所以,删库跑路不是上上策。1、前言数据恢复的...
Mysql备份所有数据库Shell脚本
Enweitech Software Works
12-21 810
【官方自带】使用命令行shell测试执行mysqldump,理解必备的参数,查看生成的sql备份文件是否符合需求 /usr/bin/mysqldump --opt -u用户 -p密码 -h主机地址 > /home/mysqlBackup/db_`date +%F`.sql 注解: 1、执行 /usr/bin/mysqldump; 2、--opt是quick,add-drop-table,add-locks,extended-insert,lock-tables几个参数的合称,一般都要使用,具
MySQL 严重 Bug - 用户登陆漏洞[转发]
weixin_30566149的博客
06-12 108
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。 受影响的版本: All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.MariaDB versions from 5.1.62...
[漏洞复现]Mysql 身份认证绕过漏洞(CVE-2012-2122)
Vicl1fe的博客
12-24 3204
mysql身份验证绕过漏洞 出现这个漏洞
Mysql注入bypass攻略
weixin_44825990的博客
12-18 3739
Mysql注入bypass攻略
mysql 5.6 登录 警告_解决mysql登录警告问题
weixin_35997133的博客
01-27 140
一、前言我们在登录mysql的时候经常会看到一句警告:Warning: Using a password on the command line interface can be insecure.这让人看着很不舒服,并且当在写脚本的时候这个警告输出到屏幕上更让人感觉难受。二、解决办法这个警告是mysql自带的,他是想告诉你在屏幕上直接输入mysql密码并显示是不安全的。1、解决办法一(看一下就行...
oracle mysql zlib安全漏洞(cve-2022-37434)
08-19
CVE-2022-37434是一个影响Oracle、MySQL和zlib的安全漏洞。这个漏洞是由于对一些特定情况下的输入数据处理不当而导致的。 该漏洞可能被利用来执行远程代码,从而使攻击者能够获取或篡改系统上的敏感数据。对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值