COM_CHANGE_USER口令缺陷漏洞
来源:互联网 发布:hadoop编程用什么语言 编辑:程序博客网 时间:2024/05/16 18:38
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
发布时间:2003-01-05
更新时间:2003-01-05
严重程度:高
威胁程度:控制应用程序系统
错误类型:错误
利用方式:服务器模式
BUGTRAQID:6373
CVE(CAN)ID:CAN-2002-1374
受影响系统
MySQLABMySQL3.22.26
MySQLABMySQL3.22.27
MySQLABMySQL3.22.28
MySQLABMySQL3.22.29
MySQLABMySQL3.22.30
MySQLABMySQL3.22.32
MySQLABMySQL3.23.2
MySQLABMySQL3.23.3
MySQLABMySQL3.23.4
MySQLABMySQL3.23.5
MySQLABMySQL3.23.8
MySQLABMySQL3.23.9
MySQLABMySQL3.23.10
MySQLABMySQL3.23.23
MySQLABMySQL3.23.24
MySQLABMySQL3.23.25
MySQLABMySQL3.23.26
MySQLABMySQL3.23.27
MySQLABMySQL3.23.28
MySQLABMySQL3.23.29
MySQLABMySQL3.23.30
MySQLABMySQL3.23.31
MySQLABMySQL3.23.34
MySQLABMySQL3.23.36
MySQLABMySQL3.23.37
MySQLABMySQL3.23.38
MySQLABMySQL3.23.39
MySQLABMySQL3.23.40
MySQLABMySQL3.23.41
MySQLABMySQL3.23.42
MySQLABMySQL3.23.43
MySQLABMySQL3.23.44
MySQLABMySQL3.23.45
MySQLABMySQL3.23.46
MySQLABMySQL3.23.47
MySQLABMySQL3.23.48
MySQLABMySQL3.23.49
MySQLABMySQL3.23.50
MySQLABMySQL3.23.51
MySQLABMySQL3.23.52
MySQLABMySQL3.23.53a
MySQLABMySQL3.23.53
MySQLABMySQL4.0.0
MySQLABMySQL4.0.1
MySQLABMySQL4.0.2
MySQLABMySQL4.0.3
MySQLABMySQL4.0.5a
详细描述
MySQL的口令认证机制存在漏洞,利用此漏洞一个经过认证的用户可以劫持其他的数据库用户帐号。漏洞的原因在于当客户端发送COM_CHANGE_USER命令后服务器使用客户端提交的一个串来比较进行口令认证。入侵者如果能猜到其他帐号口令的第一个字母就可能以那个帐号认证成功。口令的合法字符集是32个字符,也就是说恶意用户最多只要尝试32次就能攻击成功。
解决方案
厂商已经在最新版本的中解决了这个问题,请把服务器软件升级到3.23.54及其以后版本:
http://www.mysql.COM
相关信息
Advisory04/2002:MultipleMySQLvulnerabilities
http://archives.neohapsis.COM/archives/bugtraq/2002-12/0108.html<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
发布时间:2003-01-05
更新时间:2003-01-05
严重程度:高
威胁程度:控制应用程序系统
错误类型:错误
利用方式:服务器模式
BUGTRAQID:6373
CVE(CAN)ID:CAN-2002-1374
受影响系统
MySQLABMySQL3.22.26
MySQLABMySQL3.22.27
MySQLABMySQL3.22.28
MySQLABMySQL3.22.29
MySQLABMySQL3.22.30
MySQLABMySQL3.22.32
MySQLABMySQL3.23.2
MySQLABMySQL3.23.3
MySQLABMySQL3.23.4
MySQLABMySQL3.23.5
MySQLABMySQL3.23.8
MySQLABMySQL3.23.9
MySQLABMySQL3.23.10
MySQLABMySQL3.23.23
MySQLABMySQL3.23.24
MySQLABMySQL3.23.25
MySQLABMySQL3.23.26
MySQLABMySQL3.23.27
MySQLABMySQL3.23.28
MySQLABMySQL3.23.29
MySQLABMySQL3.23.30
MySQLABMySQL3.23.31
MySQLABMySQL3.23.34
MySQLABMySQL3.23.36
MySQLABMySQL3.23.37
MySQLABMySQL3.23.38
MySQLABMySQL3.23.39
MySQLABMySQL3.23.40
MySQLABMySQL3.23.41
MySQLABMySQL3.23.42
MySQLABMySQL3.23.43
MySQLABMySQL3.23.44
MySQLABMySQL3.23.45
MySQLABMySQL3.23.46
MySQLABMySQL3.23.47
MySQLABMySQL3.23.48
MySQLABMySQL3.23.49
MySQLABMySQL3.23.50
MySQLABMySQL3.23.51
MySQLABMySQL3.23.52
MySQLABMySQL3.23.53a
MySQLABMySQL3.23.53
MySQLABMySQL4.0.0
MySQLABMySQL4.0.1
MySQLABMySQL4.0.2
MySQLABMySQL4.0.3
MySQLABMySQL4.0.5a
详细描述
MySQL的口令认证机制存在漏洞,利用此漏洞一个经过认证的用户可以劫持其他的数据库用户帐号。漏洞的原因在于当客户端发送COM_CHANGE_USER命令后服务器使用客户端提交的一个串来比较进行口令认证。入侵者如果能猜到其他帐号口令的第一个字母就可能以那个帐号认证成功。口令的合法字符集是32个字符,也就是说恶意用户最多只要尝试32次就能攻击成功。
解决方案
厂商已经在最新版本的中解决了这个问题,请把服务器软件升级到3.23.54及其以后版本:
http://www.mysql.COM
相关信息
Advisory04/2002:MultipleMySQLvulnerabilities
http://archives.neohapsis.COM/archives/bugtraq/2002-12/0108.html<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
<script type="text/javascript"><!--google_ad_client = "pub-2947489232296736";/* 160x600, 创建于 08-4-23MSDN */google_ad_slot = "4367022601";google_ad_width = 160;google_ad_height = 600;//--></script><script type="text/javascript"src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>
- COM_CHANGE_USER口令缺陷漏洞
- ProFTPd 远程拒绝服务漏洞 (APP,缺陷)
- 漏洞-弱口令介绍与自动攻击示范
- 米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历
- DefineDosDevice设备名欺骗漏洞(缺陷) ,呵呵,和 subst相关
- 缺陷月项目启动 披露PHP脚本语言漏洞
- IIS解析缺陷,动易动网的又一新漏洞
- 搜狗浏览器网速保护 功能/漏洞/缺陷 分析
- CVE-2015-8660 OverlayFS文件系统权限检查缺陷漏洞
- CVE-2015-8660 Overlay文件系统文件权限检查缺陷漏洞
- Struts2框架缺陷造成的远程执行漏洞-解决方案
- 利用数据库漏洞扫描评估数据库安全性 4 弱口令扫描
- 安卓口令红包漏洞破解方法“如何抢到非苹果用户不能抢到的红包”
- 米斯特白帽培训讲义(v2)漏洞篇 弱口令、爆破、遍历
- 缺陷?
- i春秋:警惕IIS6.0站上的解析缺陷绕过上传漏洞
- i春秋:警惕Apache站上的解析缺陷绕过上传漏洞
- GMAT数学满分前辈经验谈 攻克缺陷补足漏洞短板
- 如何屏蔽控件的默认右键菜单
- linux不需要磁盘碎片整理!(第二次修改版)
- 32路视频数字光纤传输系统
- (转帖)程序设置打印机打印纸张
- 压缩文件的压缩原理
- COM_CHANGE_USER口令缺陷漏洞
- “磁性”窗口新篇
- java数据库操作基本流程
- 数据类型
- 异常:此数据库没有有效所有者,因此无法安装数据库关系图支持对象。
- 16路视频数字光纤传输系统
- 错排问题的递推解决
- 事务与锁定命令
- Xray@NET,业余写的SNIFFER
