据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码。目前,该漏洞仍影响 Oracle MySQL 客户端软件。

MiTM 攻击(Man-in-the-MiddleAttack)是一种“ 间接 ”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“ 中间人 ”。(百度百科)

编号为CVE-2017-3305 的 Riddle 是 Oracle MySQL 5.5 – 5.6 版本客户端中的关键安全漏洞,攻击者可在用户登陆凭证发送至服务器时进行捕获。安全专家表示,MySQL 5.5 – 5.6 客户端目前尚无更新程序可修复这一漏洞,但 5.7 及更高版本或 MariaDB 系统不受漏洞影响。

安全研究员 PaliRohár 表示,他们曾试图利用影响 MySQL 数据库 Backronym 漏洞的修补方法修复 Riddle,但结果以失败告终。Backronym 漏洞允许攻击者执行 MiTM 攻击窃取密码,即使流量已被加密。

PaliRohár 补充解释, MySQL 5.5.49 – 5.6.30 稳定版的安全更新,主要包括验证完成后添加安全参数的验证。因为验证完成后,MiTM 攻击与 SSL 降级攻击可使攻击者窃取登录数据进行身份验证、并登录 MySQL 服务器。可笑的是,当 MySQL 服务器拒绝验证用户时,客户端并不报告任何与 SSL 问题相关的错误,而是报告服务器发送未加密的错误信息。此外,当行 MiTM 攻击处于活跃状态时,错误信息可由攻击者控制。

对此,安全专家建议用户尽快将客户端软件更新至 MySQL 5.7 或 MariaDB 版本,以避免可能遭遇的安全问题。

原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

mysql客户端攻击_HackerNews相关推荐

  1. 攻击者正在利用mysql程序漏洞_Riddle 漏洞影响 MySQL 客户端软件,MiTM 攻击可致登陆凭证被窃...

    据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle 的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码.目前, ...

  2. mysql 客户端_MySQL客户端攻击链的探索

    原创:Kale合天智汇 原创投稿活动:重金悬赏 | 合天原创投稿等你来 0X00 前言 前言 实验室的大佬在Tsec分享了一个mysql的议题,正好我对此也有兴趣,所以就写一篇关于mysql攻击链的文 ...

  3. web安全学习-sql注入-针对mysql的攻击

    文章目录 1. 前言 补充:读取客户端本地文件到服务端mysql数据库 补充:利用全局日志写shell 补充:修改mysql的root密码 补充:配置远程登录 补充:低权限下读文件 补充:高版本mys ...

  4. mysql漏洞攻击_MySQL曝中间人攻击Riddle漏洞可致用户名密码泄露的处理方法

    针对MySQL 5.5和5.6版本的Riddle漏洞会经由中间人攻击泄露用户名密码信息.请尽快更新到5.7版本. Riddle漏洞存在于DBMS Oracle MySQL中,攻击者可以利用漏洞和中间人 ...

  5. Mysql客户端中文乱码问题解决

    另一篇一样的:http://www.cnblogs.com/charlesblc/p/5939399.html 用Mysql客户端查询发现乱码: mysql> select * from use ...

  6. swoole mysql 协程_Swoole 协程 MySQL 客户端与异步回调 MySQL 客户端的对比

    Swoole 协程 MySql 客户端与 异步回调 MySql 客户端的对比 为什么要对比这两种不同模式的客户端? 异步 MySQL 回调客户端是虽然在 Swoole 1.8.6 版本就已经发布了, ...

  7. 记录mysql客户端所有的操作

    今天在网上看到这个方法,感觉不错,可以记录mysql客户端所有的操作,这个可以为mysql出现问题之后的错误排查有一定的帮助作用,具体操作如下: 在服务器上的/etc/my.cnf中的[client] ...

  8. mysql 57授权失败_MYSQL教程完美解决mysql客户端授权后连接失败的问题

    <MYSQL教程完美解决mysql客户端授权后连接失败的问题>要点: 本文介绍了MYSQL教程完美解决mysql客户端授权后连接失败的问题,希望对您有用.如果有疑问,可以联系我们. MYS ...

  9. MySQL客户端和服务器端工具集

    MySQL 一般是安装在服务器上的,我们在客户端可以进行连接,然后可以进行一些增删改查操作.下面我们分服务器端和客户端来讲解一下 MySQL 的实用工具集. MySQL 服务器端实用工具 1) mys ...

最新文章

  1. luogu P4258 [WC2016]挑战NPC(一般图的最大匹配,带花树,建图、拆点技巧)
  2. 含有PCA动画演示的帖子,需要多读几遍的经典
  3. Android获取和判断当前手机状态和信息
  4. 《代码大全》阅读笔记02
  5. Java关于远程调试程序教程
  6. simple java mail
  7. 计算机网络计技术段标 实训,计算机网络技术实训报告精选.pdf
  8. java中final注意的问题
  9. 自拍就可以得到你自己的个人贴图 Gboard打造客制化贴图
  10. 【NATS streaming】NATS streaming 简介与安装
  11. 2019年8月1日星期四(数据结构)
  12. UIActionSheet的使用
  13. html文本框能不能粘贴图片,[免费开源]wangEditor富文本框解决方案,粘贴自动上传图片(截图上传神器啊!),可嵌入视频,vue和jquery的BS框架都能用,不能用在cs哦!...
  14. 解决java.lang.NoClassDefFoundError: com.android.tools.fd.runtime.AppInfo
  15. CCAI2018 | 韩家炜:大规模文本数据挖掘的新方向
  16. 卖出跨式套利与买入蝶式价差
  17. 阿里云张新涛:支持沉浸式体验应用快速落地,阿里云云XR平台发布
  18. NPOI导出一行多张图片
  19. jenkins插件管理提示“update information obtained
  20. Linux修改fstab引起系统无法启动问题的解决方法

热门文章

  1. chstr php,PHPWind与Discuz截取字符函数substrs与cutstr性能比较
  2. 网易MCtalk泛娱乐科技峰会:泛娱乐的未来时代属于科技创新者
  3. AWS新品直指微软,它会是改变数据库的“Game Changer”吗?
  4. 斩获VCR竞赛榜第一,腾讯微视推出BLENDer单模型,超越多模型最好效果
  5. 从啥也不会的小白,如何成为合格的算法工程师?
  6. 基于“中国架构”,为政企数字化转型而生,中国电子云自带“三大光环”
  7. 微信停止服务印度用户;阿里回应“马云遭印度法院传唤”;fastjson 1.2.73 发布 | 极客头条...
  8. 由 Apache 说开,中国开源项目已经走向世界!
  9. 小米崔宝秋:一家互联网公司没有信息安全团队,就像在“裸奔”!
  10. 那些基础不好的程序员,后来怎么样了?