最新MySQL数据库漏洞情况通报
近日,互联网上披露了关于MySQL数据库存在代码执行漏洞( CNNVD-201609-183 )的情况。由于MySQL数据库默认配置存在一定缺陷,导致攻击者可利用该漏洞对数据库配置文件进行篡改,进而以管理员权限执行任意代码,远程控制受影响服务器。目前,Oracle官方网站发布声明将于10月发布关键补丁更新信息。
一、漏洞简介
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。
MySQL数据库中的配置文件(my.cnf)存在远程代码执行漏洞(漏洞编号:CNNVD-201609-183,CVE-2016-6662),以下版本受到该漏洞影响:MySQL 5.7.15及之前的版本,5.6.33及之前的版本,5.5.52及之前的版本。
CNNVD针对上述漏洞的利用原理进行梳理,总结如下:
MySQL服务在服务器上拥有两个进程,其中一个进程拥有管理员(root)权限,另一个拥有普通用户(MySQL)权限。拥有管理员(root)权限的进程可以加载并执行配置文件中所声明的动态连接库(so库),并在特定文件权限下通过sql语句或使用添加触发器等方法修改上述配置文件,造成在MySQL服务重启时,具有管理员(root)权限的进程加载并执行该动态连接库,执行任意代码,达到提升权限的目的。
二、漏洞危害
攻击者(本地或远程)可通过正常访问或恶意注入等手段,利用该漏洞对配置文件进行修改,从而以管理员权限执行任意代码,完全控制受影响的服务器。
2. 目前,使用MySQL内核的开源数据库MariaDB和PerconaDB受该漏洞影响,并于9月6日发布漏洞修复补丁。
三、修复措施
Oracle官方网站将于10月18日发布关键补丁更新,请可能受影响的用户及时关注信息,及时修复漏洞,消除隐患。
公告链接:http://www.oracle.com/technetwork/topics/security/alerts-086861.html
部署MySQL数据库的用户,应及时检查所使用的MySQL版本是否在受影响范围内。如受影响,可采取该缓解方案:关闭MySQL用户file权限。
相关文章
Docker安装mysql配置大小写不敏感挂载数据卷存储操作步骤
这篇文章主要介绍了Docker安装mysql配置大小写不敏感挂载数据卷存储操作步骤详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2023-11-11
在linux或unix服务器上安装、使用MySQL的注意事项
在linux或unix服务器上安装、使用MySQL的注意事项,需要的朋友可以参考下,使用windows服务器的朋友可以到s.jb51.net下载相关软件2012-01-01
sql查询用到索引的条件是必须要遵守最左前缀原则,本文就详细的介绍了MySQL数据库索引的最左匹配原则,感兴趣的可以了解一下2021-11-11
mysql启动失败之mysql服务无法启动(服务没有报告任何错误)的解决方法
作为一名程序猿,必不可少的便是和mysql打交道,那当mysql故障,服务无法启动时该怎么解决呢,下面这篇文章主要给大家介绍了关于mysql启动失败之mysql服务无法启动,服务没有报告任何错误的解决方法,需要的朋友可以参考下2022-05-05
慢查询日志用于记录一些过慢的查询语句,可以帮助管理员分析问题所在,下面这篇文章主要给大家介绍了关于MySQL慢查询日志的配置与使用教程,文中通过示例代码介绍的非常详细,需要的朋友可以参考下。2017-09-09
这篇文章主要给大家介绍了关于MySQL使用Replace操作时造成数据丢失问题的解决方法,文中通过示例代码介绍的非常详细,对大家学习或者使用MySQL具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-09-09
InnoDB和MyISAM是许多人在使用MySQL时最常用的两个表类型,这两个表类型各有优劣,视具体应用而定。2014-03-03
这篇文章主要介绍了分享几个简单MySQL优化小妙招,分享内容有、设置大小写不敏感、MySql 的用户和权限管理等内容,需要的小伙伴可以参考一下,需要的朋友可以参考下2022-03-03
这篇文章主要介绍了MySQL 优化 index merge引起的死锁分析,MySQL通过优化索引合并是遇到的死锁问题,下面具体分析需要的小伙伴可以参考一下2022-04-04
这篇文章主要介绍了简单了解数据库方言dialect,数据库方言也是如此,MySQL 是一种方言,Oracle 也是一种方言,MSSQL 也是一种方言,他们之间在遵循 SQL 规范的前提下,都有各自的扩展特性,需要的朋友可以参考下2019-07-07
最新评论