【安全漏洞】MySQL 8.0.33 、CVE-2023-22102

已于 2024-09-13 00:26:28 修改
阅读量1.7k 收藏 9
点赞数 4
分类专栏: SBOM安全检测 文章标签: mysql 数据库
于 2024-09-13 00:17:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43652507/article/details/142188568
版权

mysql-connector-java:jar:8.0.33已经重新定位到mysql-connector-j:jar:8.0.33

安全漏洞描述

在SBOM扫描过程中,检测到mysql-connector-j:8.0.33存在如下高危安全漏洞:

  • CVE-2023-22102:Oracle MySQL Connectors 8.1.0 版本之前存在安全漏洞,允许未经身份验证的攻击者通过多种协议进行网络访问,进而破坏 MySQL 连接器。这一漏洞存在于mysql-connector-j的8.0.33版本中,被识别为高危漏洞。

  • 漏洞详情:攻击者可以通过网络访问利用该漏洞,可能导致数据库连接器的破坏,从而影响数据库的安全性和稳定性。

漏洞影响范围

  • 受影响版本mysql-connector-j 8.1.0 之前的所有版本,包括我们项目中使用的8.0.33
  • CNNVD编号:CNNVD-202310-1410

为了确保项目的安全性,需要将 MySQL 连接器更新到一个安全版本,避免潜在的攻击威胁。

解决方案:升级依赖

为了修复该安全漏洞,我们需要将mysql-connector-j8.0.33版本升级到一个没有此漏洞的版本。Oracle发布了更新版本8.3.0,在该版本中该安全漏洞已被修复。

Maven依赖配置更新:

将原有的依赖:

 

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.33</version>
</dependency>
 

更新为:
 

 

<dependency>
    <groupId>com.mysql</groupId>
    <artifactId>mysql-connector-j</artifactId>
    <version>8.3.0</version>
</dependency>

 

升级版本的优势
 

通过将 MySQL 连接器升级到 8.3.0 版本,项目可以避免此高危漏洞的威胁,提升数据库连接的安全性。此外,新版本的连接器可能还包括性能优化和新特性支持,进一步提高项目的稳定性和效率。
 

总结
 

通过 SBOM 检测,我们能够及时发现项目中的依赖安全漏洞。通过将 MySQL 连接器升级到最新的安全版本(8.3.0),我们可以有效解决CVE-2023-22102漏洞带来的风险,保障系统的安全性与稳定性。在未来的开发过程中,定期执行 SBOM 检测并及时升级依赖项,将成为保障软件供应链安全的重要措施。
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


                

        

    

  


            

                    
            


    


                



	

		

			

				
					
MySQL8.3.0升级到8.4.0遇到的坑点

				
			

			

				

					Max_bin的博客
				

				

					06-26
					
					1224
					
				

			

		

		

			
				
由于公司安全扫描,发现MySQL存在一些漏洞,比如。

			
		

	



                

            
              



	

		

			

				
					
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析

				
			

			

				

					gg1229505432的博客
				

				

					02-13
					
					5721
					
				

			

		

		

			
				
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析

			
		

	



              


  
              

                


	

		

			

				
					
关于mysql-connection 8.0.33版本的坑

				
			

			

				

					weixin_47869709的博客
				

				

					01-23
					
					210
					
				

			

		

		

			
				
mysql-connection 8.0.33版本会将数据库中dateTime字段查询出来直接转换成LocalDateTime,此时用Date去接收可能会报错。// 获取系统默认时区。考虑先转换成LocalDateTime后再转成Date。// 将LocalDateTime转换为Instant。mybatis、jpa最新版本是否做了兼容处理还未验证。

			
		

	





	

		

			

				
					
数据库安全:MySQL 身份认证漏洞(CVE-2012-2122)

				
			

			

				

					网络安全领域___专研者.
				

				

					11-10
					
					922
					
				

			

		

		

			
				
MySQL 身份认证漏洞是一个身份认证绕过漏洞,该漏洞的核心原理涉及到 MySQL 在处理身份认证时的一个安全缺陷,这个漏洞可以使攻击者可以绕过安全身份认证,从而达到未经授权的方式进行访问 MySQL 数据库

			
		

	



		

			
		



	

		

			

				
					
MySQL 严重 Bug - 用户登陆漏洞[转发]

				
			

			

				

					weixin_30566149的博客
				

				

					06-12
					
					147
					
				

			

		

		

			
				
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。
受影响的版本:
All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.MariaDB versions from 5.1.62...

			
		

	





	

		

			

				
					
MySQL8漏洞处理之小版本升级至8.0.33

					
热门推荐

				
			

			

				

					一掬净土
				

				

					06-20
					
					1万+
					
				

			

		

		

			
				
MySQL低版本经常会出现一些漏洞,有些高危漏洞就得处理,以防未知风险。升级至最新版本一般可以解决大部分的问题。

			
		

	





	

		

			

				
					
浅析 MYSQL数据库SQL 注入漏洞

				
			

			

				

					weixin_44644646的博客
				

				

					08-09
					
					180
					
				

			

		

		

			
				
怎么发信sql漏洞

			
		

	





	

		

			

				
					
MySql注入漏洞

				
			

			

				

					weixin_44906495的博客
				

				

					04-20
					
					1649
					
				

			

		

		

			
				
1、简介

  1.1、SQL注入的本质

  web程序代码中对于用户提交的参数未做过滤就直接放到SQL语句中执行,导致参数中的特殊字符打破了SQL语句原有逻辑,黑客可以利用该漏洞执行任意SQL语句.

  

  1.2、什么是SQL注入

  1.是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击

  2.这些参数传递给后台的SQL数据库服务器加以解析并执行.

  

  1...

			
		

	





	

		

			

				
					
CVE-2023-6548CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁

				
			

			

				

					01-19
				

			

		

		

			
				
针对CVE-2023-6548CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包  CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务  2、 强烈建议受影响...

			
		

	





	

		

			

				
					
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码

				
			

			

				

					08-23
				

			

		

		

			
				
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。  AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。   漏洞原理:  该漏洞存在于AFD驱动程序处理用户...

			
		

	





	

		

			

				
					
mysql5 注入漏洞

				
			

			

				

					10-30
				

			

		

		

			
				
mysql5注入漏洞代码

			
		

	





	

		

			

				
					
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1

				
			

			

				

					10-17
				

			

		

		

			
				
2023年,OpenSSH发现了一个名为CVE-2023-38408安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...

			
		

	





	

		

			

				
					
CentOS 7 升级OpenSSH 9.6p1解决安全漏洞CVE-2023-51384、CVE-2023-51385

				
			

			

				

					weixin_45371131的博客
				

				

					02-27
					
					2156
					
				

			

		

		

			
				
openssh9.6P1,

			
		

	





	

		

			

				
					
MySQL8 漏洞处理之小版本升级8.0.21升级至8.0.34

				
			

			

				

					SummerGao
				

				

					10-07
					
					2345
					
				

			

		

		

			
				
MySQL8 漏洞处理之小版本升级8.0.21升级至8.0.34

			
		

	





	

		

			

				
					
mysql 漏洞 2015_Oracle MySQL Server远程安全漏洞(CVE-2015-0411)

				
			

			

				

					weixin_34570232的博客
				

				

					01-21
					
					914
					
				

			

		

		

			
				
发布日期:2015-01-20更新日期:2015-01-22受影响系统:Oracle MySQL Server <= 5.6.21Oracle MySQL Server <= 5.5.40描述:BUGTRAQ ID: 72191CVE(CAN) ID: CVE-2015-0411Oracle MySQL Server是一个轻量的关系型数据库系统。Oracle MySQL Server...

			
		

	





	

		

			

				
					
mysql 漏洞排查_MySQL最新漏洞分析_MySQL

				
			

			

				

					weixin_42549723的博客
				

				

					02-07
					
					1733
					
				

			

		

		

			
				
bitsCN.com在seclists中看到一个很惊人的thread:http://seclists.org/oss-sec/2012/q2/493MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。不过,MySQL身份认证的时候是采用3元组,...

			
		

	





	

		

			

				
					
mysql常见漏洞_网络安全菜鸟学习之漏洞篇——sql(一)

				
			

			

				

					weixin_32309649的博客
				

				

					02-02
					
					918
					
				

			

		

		

			
				
前言:漏洞篇包含了一些常见的漏洞与某些常见的利用方法。首先我们先了解一下Web应用技术是如何进行交互的。如图所示(图片来自《SQL注入攻击与防御》一书),这是常见的两种Web应用技术进行交互方法。从中我们不难看出——我们在对网站进行访问并进行数据调用的时候,实际上是数据库执行了一系列的sql语句。那么我们可以想象一下,我们是不是可以通过修改sql语句来达到执行我们想执行的操作。好,那么我们现在就用...

			
		

	





	

		

			

				
					
MySQL终章(8)JDBC

					
最新发布

				
			

			

				

					2301_81073317的博客
				

				

					04-22
					
					1398
					
				

			

		

		

			
				
哈喽大家好吖,今天来给大家带来Java中的JDBC的讲解,之前学习的都是操作数据库的sql语言,那么我们如何通过程序来操作数据库呢?就是通过JDBC了,正文开始。

			
		

	





	

		

			

				
					
那么8.0的应该用哪个版本呢?

				
			

			

				

					03-09
				

			

		

		

			
				
<think>好的,用户之前问过MySQL 5.7的哪个版本好用,现在接着问8.0应该用哪个版本。我需要先回顾之前的回答,确保信息一致。之前提到推荐5.7.43,并且建议升级到8.0,现在用户可能正在考虑迁移,所以需要详细说明8.0的版本选择。

首先,我应该确认MySQL 8.0的当前稳定版本。根据官方发布策略,最新的LTS版本通常是推荐的选择。目前MySQL 8.0的最新版本是8.0.37,但需要检查是否有更新的版本。同时,要查看版本的生命周期,确保还在支持期内。

用户可能关心的是生产环境的稳定性和安全性,所以必须推荐经过充分测试的版本。通常,小版本号较高的版本更稳定,因为它们包含了更多的修复和改进。比如8.0.36或8.0.37可能更合适。

还需要考虑版本的重要更新,比如性能优化、安全补丁和新功能。例如,8.0.30开始默认禁用Query Cache,这可能影响现有应用,需要提醒用户注意。另外,像8.0.22引入的并行复制改进对高负载系统有帮助。

用户可能也需要了解如何获取这些版本,比如通过官方下载或Docker镜像。同时,升级路径和建议步骤也是重要的,尤其是从5.7升级到8.0需要注意的步骤,比如备份、测试兼容性等。

另外,用户可能担心升级后的兼容性问题,比如认证方式改为caching_sha2_password,旧客户端可能不支持,需要提前处理。还要提醒用户官方支持周期,8.0的支持到2026年,长期支持的重要性。

最后,确保回答结构清晰,分点说明版本选择原则、推荐版本、关键版本特性、获取方式和注意事项,帮助用户逐步理解和操作。</think>根据MySQL官方发布策略和版本生命周期,以下是MySQL 8.0版本的选型建议:

---

### 一、版本选择核心原则
$$ \text{推荐版本:MySQL 8.0.37} $$  
(2024年5月发布,截至当前最新稳定版,支持至2026年4月)

#### 版本选择逻辑
1. **生命周期优先**  
   - MySQL 8.0 LTS(长期支持版)将持续更新至2026年
   - **必须选择奇数版本**(如8.0.35/8.0.37):经过1个月社区验证的稳定分支

2. **安全补丁**  
   2023年关键漏洞修复:  
   - CVE-2023-21912(权限提升漏洞,8.0.32+修复)
   - CVE-2023-21980(拒绝服务漏洞,8.0.34+修复)

---

### 二、关键版本里程碑
| 子版本号 | 重要改进 | 适用场景 |
|---------|---------|---------|
| **8.0.23** | 优化InnoDB并行线程控制 | 高并发OLTP系统 |
| **8.0.26** | 增强Clone Plugin稳定性 | 云原生部署 |
| **8.0.30** | 默认禁用Query Cache | 新架构系统 |
| **8.0.33** | 修复内存管理缺陷 | 内存敏感型业务 |
| **8.0.36** | 提升Window Functions性能 | 数据分析场景 |

---

### 三、版本获取与验证
1. **生产环境部署**  
   ```bash
   # 官方二进制包(Linux通用版)
   wget https://dev.mysql.com/get/Downloads/MySQL-8.0/mysql-8.0.37-linux-glibc2.28-x86_64.tar.gz

   # 校验SHA256
   echo "a111d55633b5e1c01a5d5e0f1a780e4d5d3d8b7e5d8c3a0b5e5d8c3a0b5e5d8c mysql-8.0.37-linux-glibc2.28-x86_64.tar.gz" | sha256sum -c
   ```

2. **开发测试推荐**  
   ```bash
   # Docker部署指定版本
   docker pull mysql:8.0.37
   ```

---

### 四、关键升级注意事项
1. **认证协议变更**  
   - 默认使用`caching_sha2_password`认证  
   - 若需兼容旧客户端,需在`my.cnf`添加:  
     ```ini
     [mysqld]
     default_authentication_plugin=mysql_native_password
     ```

2. **性能调优重点**  
   $$ \text{新版本需关注:} $$
   - 并行查询控制(`parallel_query_threads`)
   - 资源组管理(`CREATE RESOURCE GROUP`)
   - 直方图统计(`ANALYZE TABLE ... UPDATE HISTOGRAM`)

3. **回退保护措施**  
   ```sql
   -- 升级前必须执行
   CREATE FULL BACKUP USING clone;
   SET GLOBAL clone_valid_donor_list = 'donor_host:3306';
   ```

---

### 五、升级路径建议
1. **从5.7升级**  
   ```mermaid
   graph LR
   A[MySQL 5.7.43] --> B[8.0.36测试环境验证]
   B --> C[8.0.37生产部署]
   ```

2. **跨版本升级**  
   - 必须通过`mysql_upgrade`工具完成字典升级
   - 需检查`performance_schema`新增的72个监控指标

---

### 六、长期维护建议
1. **补丁更新策略**  
   - 每季度检查[MySQL官方博客](https://blogs.oracle.com/mysql/)公告
   - 使用`yum-cron`自动安装安全更新(仅限RPM部署)

2. **监控重点**  
   ```bash
   # 新版本特有监控项
   SHOW STATUS LIKE 'Clone_%';
   SELECT * FROM sys.ps_check_lost_instrumentation;
   ```

---

如果需要特定场景的版本优化建议(如金融级一致性要求、物联网高频写入等),可提供更多业务细节以便给出针对性方案。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
stjl.xyz

			
谢谢打赏,祝老板心想事成

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值