MySQL安全分析:缓解MySQL零日漏洞
一些世界上最大的公司(例如Facebook、谷歌和Adobe)以及很多规模较小的企业都在使用Oracle公司的MySQL数据库服务器软件。它的性能、可靠性和易用性使其成为在LAMP(Linux、Apache、MySQL、Perl/PHP/Python)平台上构建的数千Web应用不可缺少的部分。鉴于其庞大的用户群,最近发现的几个MySQL零日漏洞利用引起IT安全团队的高度关注,也激起了攻击者对MySQL安全的兴趣。
本文将讨论MySQL安全状况和这些MySQL零日漏洞威胁。我们还将为MySQL用户提供一些可行的缓解措施,和可能的MySQL替代方案。
MySQL零日漏洞概述
为了确定最近MySQL零日漏洞的严重程度,我们首先必须深入分析每个漏洞。这些漏洞已经被分配了以下公共漏洞和暴露(Common Vulnerabilities and Exposures CVE)ID:
CVE-2012-5611 MySQL基于堆栈的缓冲区溢出:这是通过发送超长参数到GRANT FILE命令来触发的,该操作会导致堆栈缓冲区溢出。它将允许远程攻击者执行任意代码,甚至可能导致数据库崩溃。
CVE-2012-5612 MySQL基于堆的溢出:低权限经验证的远程攻击者可以通过发送一系列特制的命令来导致堆缓冲区溢出。
CVE-2012-5613 MySQL数据库权限提升:这并不被认为是一个安全漏洞,而是MySQL错误配置的结果,它可能导致远程认证用户获得管理员权限。
CVE-2012-5614 MySQL拒绝服务(DoS):通过发送SELECT命令以及包含XML(有大量独特的嵌套元素)的UpdateXML命令,一个认证用户可导致拒绝服务。
CVE-2012-5615 MySQL远程preauth用户枚举:远程攻击者可以基于MySQL生成的错误消息来发现有效的MySQL用户名。
乍一看,这个列表似乎指出了很多令人担忧的问题,包括DoS攻击、权限升级、身份验证绕过和代码执行。但其实CVE-2012-5615已经出现很长一段时间了,并记录在MySQL开发者手册中。此外,如果攻击者想要成功利用漏洞CVE-2012-5611(实际上是复制了较旧漏洞CVE-2012-5579)和CVE-2012-5614,他/她将需要有效的MySQL用户名和密码。而对于CVE-2012-5613,攻击者则需要有FILE权限(对服务器的读/写访问)的人的有效登录账号。这并不是一个漏洞,因为这种已知的服务器行为只能发生在错误配置的服务器。手册上说,最多只能向数据库管理员授予FILE权限。
因此,在实际情况中,只有CVE-2012-5612和5614需要引起真正的关注。通用漏洞评分系统(CVSS)是评估安全漏洞的标准方法,分数范围从0到10,0代表最不严重,10代表最严重。CVE-2012-5612的得分为6.5,CVE-2012-5614的得分为4.0,所以它们并不是最严重的漏洞。目前还没有报道有利用这些漏洞的攻击,但趋势科技已经发布了“深度包检测”(DPI)规则,并将这些漏洞涵盖在其防火墙规则中。
仍然担心MySQL安全?尝试替代方案
对于仍然担心潜在漏洞的MySQL用户,可以采取一些措施来进一步保护MySQL。首先,确保远程用户发到数据库的命令经验证后为有效和符合常理的。例如,SHOW FIELDS FROM命令应该被阻止,这种命令只可能来自恶意用户。同时,确认MySQL没有监听可从互联网访问的端口;理想情况下,限制对主机或子网上MySQL的访问。确认所有测试账户和不必要的权限已被删除,当新版本发布时,尽快升级MySQL,因为其中修复了这些托福答案
在全面风险评估后,MySQL用户如果还觉得使用该产品的风险太大,可以考虑MariaDB,它是MySQL的二进制嵌入式替代品。它不仅功能与MySQL类似(它的开发者每个月与MySQL代码库混合,以确保兼容性),而且它经常先于MySQL打补丁。此外,它有MySQL中没有的很多选择、存储引擎和漏洞修复,虽然没有管理支持托福改分
总结
也许这些MySQL零日漏洞可能没有想象的那么严重,但它们却提醒着我们,正确配置数据库软件及运行这些软件的操作系统是保持数据安全的重要因素。虽然MySQL很容易设置和使用,但企业应该多花些时间确保MySQL的安全配置,很多企业急于推出新的web应用而常常忽略了这个步骤。错误配置的服务器很容易受到攻击。对于所有MySQL用户,笔者建议阅读涉及安全问题的MySQL参考手册的第六章,特别是第6.1.3节《Making MySQL Secure Against Attackers》。你可以在MySQL网站找到关于MySQL漏洞的信息。
转载于:https://www.cnblogs.com/haosola/archive/2013/05/16/3081321.html
MySQL安全分析:缓解MySQL零日漏洞相关推荐
- 绕过交易所零日漏洞的缓解措施!微软发布新的解决方法
近日,在发现可以轻松绕过 Exchange Server 中新披露并积极利用的零日漏洞后, Microsoft 微软已更新其缓解措施. 这两个漏洞被称为 CVE-2022-41040 和 CVE-20 ...
- 黑客急于利用微软的零日漏洞
Windows 支持工具中的"Follina"漏洞正在 Microsoft Word 中被积极利用,使恶意黑客可以完全访问受感染的系统. 专家表示,现在是修复这个关键漏洞的时候了, ...
- 零日漏洞发展格局及防御策略
在过去的一年半中, 在野利用的零日漏洞数量持续飙升 ,这些软件制造商尚不知晓的漏洞正在被国家行为体黑客组织和勒索软件团伙滥用. 今年上半年,Google Project Zero统计了近20个零日漏洞 ...
- Microsoft Exchange Server中的四个零日漏洞已被链接使用在野袭击
CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065:被在野利用的Microsoft Exchange Server中的四个零日漏洞. ...
- 思科bfd静态路由切换_思科路由器曝出两个严重零日漏洞,已被野外利用
点击蓝字关注我们 思科在上周末警告说,其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务(DoS)漏洞,攻击者正在试图利用中. 关于漏洞 思科的IOS XR网络操作系 ...
- 谷歌紧急更新,Chrome 今年第二个零日漏洞曝光
整理 | 张仕影 出品 | CSDN(ID:CSDNnews) 在曾经市场份额疯长到全球第二的 Firefox 浏览器日益变"糊,并且如今市场占有率已不足 4% 的形势下,2008 年诞生的 ...
- 苹果零日漏洞利用市售800万欧元
苹果移动操作系统iOS零日漏洞利用可致远程代码执行,市售800万欧元. 苹果零日漏洞可造成巨大破坏 由于以色列网络情报公司NSO Group备受争议的"飞马"(Pegasus)解决 ...
- 波及Win 11,让安全员自动放弃的零日漏洞,微软这次麻烦了
8 月 23 日微软刚刚修复了名为"PrintNightmare"高危零日漏洞,当用户插入 Razer(雷蛇)鼠标或者键盘时,黑客有可能获得 Windows 管理员权限. 屋漏偏逢 ...
- 兰德公司:零日漏洞平均生存期为6.9年
兰德公司一份新研究报告称,零日漏洞--开发人员没打补丁或没发现的漏洞,平均生存期为6.9年. 该研究分析了200多个此类漏洞,并调查了这些漏洞被不同组织发现的频率.独立发现的罕见性,以及缺陷存在的长期 ...
最新文章
- 从全球最大光伏展看中国光伏行业:火爆的背后是什么?
- expdp备份速度慢的问题
- Thread中,join()方法
- 数据恢复软件哪个好用比特数据恢复当仁不让
- mqtt调试助手_物联网入门,如何使用MQTT协议,连接Tlink物联网平台
- wind10MySQL闪退什么密码_win10系统Mysql输入密码后闪退的解决方法
- c语言生命游戏代码大全,c++生命游戏源码
- 速度之王 — LZ4压缩算法与其他算法的比较
- 周志华任大会首个华人程序主席!
- [SDOI2006]二进制方程 并查集
- OpenCv之图像二值化(笔记12)
- 微软 Build 2020 为 WSL 带来的新消息一览:WSL2 即将到来,对 GPU 和 Linux GUI 的支持也不远了
- springboot+aop+自定义注解,打造通用的全局异常处理和参数校验切面(通用版)
- java 获取当前时间并转化为yyyy-MM-dd HH:mm:ss格式(性程安全模式与不安全)
- 【ENVI】FLAASH大气校正工具中比例因子说明
- Dev-C++5.11游戏创作之简易游戏(之前的登录软件与跑酷程序的结合)
- oppo手机投屏到电脑上
- 平面坐标, 极坐标 复数以及欧拉公式
- MATLAB怎么生成一个周期信号,matlab产生方波脉冲和周期性方波信号
- ExtJs自学教程(2):从DOM看EXTJS
热门文章
- 10个常见的Android 新手误区
- echarts二次渲染时宽高为0图表不显示
- 机器学习相关问题与资源下载。
- HC-05蓝牙模块遇到的问题与解决方法及实现和手机通信
- mysql连接timeout_mysql 连接超时wait_timeout问题解决
- java-net-php-python-jspm智守护学生健康管理系统软件设计与开发计算机毕业设计程序
- C语言停车场管理模拟系统
- pdf转换器免费版哪种好用:Aiseesoft PDF Converter Ultimate | 无损转word转Excel转PPT转图片啥都行!!!
- SQLyog:Error Code : 1583 Incorrect parameters in the call to native function ‘concat‘
- python 写一个幸运大转盘抽奖脚本