mysql 2018 1月份出了3个高危漏洞,影响范围很大,涉及到5.6,5.7, 尤其是"CVE-2018-2696" 长密码拒绝式攻击:

CVE-2018-2562  MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击,也可以无需授权更新、插入、删除数据库中的可以访问的数据。

MariaDB分支版本也受该漏洞影响。

CVE-2018-2591  MySQL分区未指定的漏洞

漏洞源于Oracle MySQL服务器分区组件。影响5.6.38及之前的版本,5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

MariaDB分支版本不受该漏洞影响。

CVE-2018-2696  MySQL: sha256_password 认证长密码拒绝式攻击

该漏洞源于MySQL sha256_password认证插件,该插件没有对认证密码的长度进行限制,而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算,如果传递一个很长的密码时候,会导致CPU耗尽。而且该公式MySQL的实现中使用alloca()进行内存分配,无法对内存栈溢出保护,可能导致内存泄露、进程崩溃,从而可能实现代码执行。

MySQL <= 5.6.38 和MySQL <= 5.7.20 受影响。MariaDB分支版本不受该漏洞影响。

请勿忽视眼前的安全问题,等到真到哪天"莫非法则"出现, 哭都来不及,

没有人能承担数据泄露的后果;

那我们怎样才能安全的做好数据库版本升级工作呢?

以下是使用最新的二进制包

mysql漏洞补丁升级_mysql 5.7 高危漏洞及升级修复步骤相关推荐

  1. 2020-12 补丁日: 微软多个高危漏洞通告

    报告编号:B6-2020-120902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日,360CERT监测发现 微软官方 ...

  2. .netframewor金山卫士推送微软8月补丁 IE所有版本存在高危漏洞

    8月10日凌晨,微软刚刚发布了8月份的安全补丁,其中涉及到所有浏览器IE版本中的7个安全漏洞,最严重的漏洞可能会使网民通过IE浏览特制网页时允许远程执行代码,成功利用这些漏洞的者可以获得与本地用户相同 ...

  3. 2021-01 补丁日: 微软多个高危漏洞通告

    报告编号:B6-2021-011302 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01事件简述 2021年01月13日,360CERT监测发现发布了的风险 ...

  4. mysql_upgrade 升级_MySQL 8.0.16 告别mysql_upgrade升级方式

    原创作者: 田帅萌作者简介:田帅萌,京东数科DBA,爱可生开源社区志愿者. 最熟悉的命令要消失了! MySQL 8.0.16 开始,MySQL 不推荐使用mysql_upgrade.取而代之的是 se ...

  5. mysql 快速升级_MySQL 4到5的快速升级

    作/译者:叶金荣(Email: ),来源:http://imysql.cn 周末帮一个客户做了一次升级,是从4.0.22直接升级到5.0.37,在windows平台下.由于是在windows平台下,而 ...

  6. CVE漏洞—PHPCMS2008 /type.php代码注入高危漏洞预警

    11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改.数据泄漏.服务器被远程控 ...

  7. MySQL后初次密码_mysql第一次安装成功后初始化密码操作步骤

    把文件解压到一个目录下 这是解压后的目录 将my.ini文件考进去 双击打开my.ini 找到这两行更改成自己的解压路径保存 右键此电脑属性 找到高级系统设置配置环境变量 环境变量 新建 变量值是解压 ...

  8. 速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的 ...

  9. Tomcat 爆出高危漏洞!

    点击上方"方志朋",选择"设为星标" 回复"666"获取新整理的面试文章 一.漏洞背景 安全公告编号:CNTA-2020-0004 2020 ...

最新文章

  1. 由Node.js事件驱动模型引发的思考
  2. 【原创】WinCE下流驱动开发流程
  3. yolov5 mobile 剪枝
  4. 系统集成项目管理工程师-项目风险管理笔记
  5. 阿里云容器服务发布 Knative 托管服务 | 云原生生态周报 Vol. 49
  6. 【云上创新】阿里云视频云分享全场景音视频服务背后的场景探索与技术实践
  7. 为什么python工程师掌握这些就够了_Python工程师薪资飙升,Python这些技能你掌握了吗...
  8. OpenSSL解析X509证书
  9. 模拟软件-OLED及Solar cell的模拟软件(Absorption模块)-[Setfos]
  10. linux libodbc.so.1,关于C#:Testprintenv:加载共享库时出错:libodbc.so.1:无法打开共享对象文件...
  11. 成功解决tensorflow.python.framework.errors_impl.UnimplementedError: Cast string to int32 is not supporte
  12. python百度云链接哔哩哔哩弹幕网_python预课05 爬虫初步学习+jieba分词+词云库+哔哩哔哩弹幕爬取示例(数据分析pandas)...
  13. android sim卡状态改变广播,android监听SIM状态
  14. 页面开发配色选择神器
  15. Linux shell 批量改后缀名
  16. 2023年Node.js全网详细下载安装的最新教程
  17. “如果你害怕成为陈冠希,彻底删除文件工具来帮你”--彻底删除文件(File Delete Absolutely)1.02发布...
  18. Python语音基础操作--11.2基于GMM的说话人识别模型
  19. python 提示框如何顶层显示_Python Tkinter Toplevel顶层窗口
  20. Github SSH keys 配置问题

热门文章

  1. R count函数_第477期|R语言绘图之图形组合
  2. 【《Real-Time Rendering 3rd》 提炼总结】(十一) 第十四章 : 游戏开发中的渲染加速算法总结
  3. 【PyTorch】4 姓氏分类RNN实战(Simple RNN)——18 种起源语言的数千种姓氏分类
  4. js 数组扁平化和树之间相互转换
  5. angularjs-requirejs-rjs-md5
  6. Java中IO(三、转换流与打印流)
  7. CSP-M4补题 B_ZJM要抵御宇宙射线
  8. 华硕电脑一开机就等待按F1然后自动进入BIOS界面如何解决
  9. 关于AsyncHttpClient的cz.msebera.android.httpclient.Header
  10. 终端连接阿里云服务器出现Permission denied (publickey)解决方法