安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
来源:互联网 发布:淘宝买高跟鞋哪家店好 编辑:程序博客网 时间:2024/06/10 10:58
MySQL的密码系统最近被发现一个非常严重的漏洞,它使得任何人都可以轻松地以root来访问数据库服务器。这可能是近年来最严重的MySQL或者数据库漏洞,不过幸运的是只有一部分系统受到了影响。
ChinaNetCloud使用的MySQL.org官方发行版未受影响,没有问题,但是大多数的Ubuntu、Debian、Fedora和许多其它发行版似乎都受到了影响。 Red Hat和Mysql/Oracle的官方发行版也没有问题。核心漏洞实际上来自于一些编译中的编译器优化问题(如用GCC处理SSE)。
使得情况更糟的是,很多网站没有正确地保护它们的数据库。我们发现许多数据库服务器的系统都有一个公网IP,却没架设防火墙,同时数据库用户的设置也很不合理——最近的一次网上调查发现了175万例此种情况。即便其中仅仅10%受到了影响,那也将有成千上万的数据库会在短短几秒钟内突然处于可以被黑的状态。
立刻检查您的系统,或者给我们打求助电话,因为我们可以告诉您哪些发行版容易受到攻击,并且为您提供相应的检查工具及代码。
上面的情况也说明了为什么ChinaNetCloud使用的多重安全防护策略才是抵御这种问题的最好方式。因为我们会使用物理和主机防火墙,尽可能的采用内网IP,严格限制数据库用户的主机来源的同时,尽可能多地限制用户权限(例如我们只启用localhost的unix端口来允许root访问,因此任何类似上面情况的root网络攻击都将是无用的)。多重防护有助于确保如果某一层出现了严重问题,那么其他层的防护可以继续保护您的系统,或者至少限制损害的范围。
我们从不使用很难升级和修复的源代码版本进行手动编译安装。我们相信,最好的做法是使用官方最广泛使用及知名的版本和编译好的内容进行安装,这么做,漏洞可以非常快的被找到和修复。
我们可以通过免费的审计工作来帮助您改善安全问题;如有兴趣,可以立刻联系我们,或通知您的销售经理来联系我们。
引用: http://seclists.org/oss-sec/2012/q2/493
引用: https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- FreeTextBox中存在一个严重的安全漏洞
- Gmail存在严重安全漏洞 无需密码也可进入邮箱
- iOS出现了严重的安全漏洞
- Phpwind出现严重安全漏洞
- IE总出现"您的安全设置级别导致计算机存在安全风险”提醒的解决方法
- [安全]找回密码安全漏洞
- MSN和Gtalk的本地密码存在严重漏洞
- Hadoop存在巨大数据安全风险的理由
- Hadoop存在巨大数据安全风险的理由
- Hadoop存在巨大数据安全风险的十个理由
- 详讯:微软承认Outlook中存在严重安全漏洞
- 120941138.三星处理器被发现存在严重安全漏洞
- windows下设置git操作免输入密码(存在安全风险)
- udev:Linux里严重的本地安全漏洞
- 微软发布十月份安全公告 将修复四个严重安全漏洞
- DEDECMS爆严重安全漏洞免账号密码直接进入后台
- DEDECMS 爆严重安全漏洞 免账号密码直接进入后台
- android之常用cmd命令(持续更新......)
- 技术项目 - 异地备份的重要性
- 【转】跳表SkipList详解
- 你的脸在我的记忆里变得模糊不清:伤感日志
- 用户密码的保护
- 安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
- 面试遇到的
- AWk高级编程
- 异地备份的重要性
- 在Web服务器之间共享文件和资源
- 负载均衡 - HAProxy 与 Nginx
- 技术选择 — 戴尔新服务器R420的最佳配置
- 如何学好C语言 & 如何学好C++
- 只是,眼泪知道,你会忘记一切,眼泪不会。