据外媒 15 日报道,安全专家于 2 月在 Oracle 数据库管理系统( DBMS )MySQL 中发现一个被命名为 Riddle 的编码漏洞,允许攻击者利用 MiTM 攻击窃取用户名与密码。目前,该漏洞仍影响 Oracle MySQL 客户端软件。 MiTM 攻击(Man-in-the-MiddleAttack)是一种“ 间接 ”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“ 中间人 ”。(百度百科) 编号为CVE-2017-3305 的 Riddle 是 Oracle MySQL 5.5 – 5.6 版本客户端中的关键安全漏洞,攻击者可在用户登陆凭证发送至服务器时进行捕获。安全专家表示,MySQL 5.5 – 5.6 客户端目前尚无更新程序可修复这一漏洞,但 5.7 及更高版本或 MariaDB 系统不受漏洞影响。 安全研究员 PaliRohár 表示,他们曾试图利用影响 MySQL 数据库 Backronym 漏洞的修补方法修复 Riddle,但结果以失败告终。Backronym 漏洞允许攻击者执行 MiTM 攻击窃取密码,即使流量已被加密。 PaliRohár 补充解释, MySQL 5.5.49 – 5.6.30 稳定版的安全更新,主要包括验证完成后添加安全参数的验证。因为验证完成后,MiTM 攻击与 SSL 降级攻击可使攻击者窃取登录数据进行身份验证、并登录 MySQL 服务器。可笑的是,当 MySQL 服务器拒绝验证用户时,客户端并不报告任何与 SSL 问题相关的错误,而是报告服务器发送未加密的错误信息。此外,当行 MiTM 攻击处于活跃状态时,错误信息可由攻击者控制。 对此,安全专家建议用户尽快将客户端软件更新至 MySQL 5.7 或 MariaDB 版本,以避免可能遭遇的安全问题。 原作者: Pierluigi Paganini,译者:青楚,译审:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

攻击者正在利用mysql程序漏洞_Riddle 漏洞影响 MySQL 客户端软件,MiTM 攻击可致登陆凭证被窃...相关推荐

  1. mysql 程序迁移_如何从MySQL数据库程序中迁移数据库文件

    WordPress中文社区发现,很多时候我们在开发WordPress主题的时候,为了方便我们一般都会在自己的本地搭建的服务器环境中开发,比如wampserver或者phpsduty之类的,时间久了,本 ...

  2. sc delete mysql_彻底删除MySQL服务 删除服务:sc delete mysql//这里的mysql是你要删除的服务名在...

     进入"控制面板->管理工具->服务"查看才发现,虽然MYSQL已经卸载了,但是MYSQL服务仍然残留在系统服务里. 又不想改服务名,改怎么办呢. 只要在CMD里输 ...

  3. Apache Tomcat 曝文件包含漏洞:攻击者可利用该漏洞读取webapp目录下的任意文件...

    点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | oschina 来源 | https://ww ...

  4. Mysql数据库渗透及漏洞利用总结

    1.1 Mysql信息收集 1.端口信息收集 Mysql默认端口是3306端口,但也有自定义端口,针对默认端口扫描主要利用扫描软件进行探测,推荐使用: (1)iisputter,直接填写3306端口, ...

  5. MySQL 数据库渗透及漏洞利用总结

    MySQL 数据库是目前世界上使用最为广泛的数据库之一,很多著名公司和站点都使用 MySQL 作为其数据库支撑,目前很多架构都以 MySQL 作为数据库管理系统,例如 LAMP.和 WAMP 等. 在 ...

  6. 攻击者正利用DrayTek路由器0day漏洞修改DNS设置

    DrayTek是一家台湾宽带CPE(客户端设备)制造商,其生产的设备主要包括路由器.交换机.防火墙以及VPN设备等.5月18日,该公司宣布称,黑客正在利用其DrayTek路由器中存在的0day漏洞,来 ...

  7. CISA:攻击者正在利用开源Zabbix服务器中的多个漏洞!

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全基础设施和安全局 (CISA) 警告称威胁者正在利用开源的Zabbix 工具(用于监控网络.服务器.虚拟机和云服务)中的两个漏洞. ...

  8. 89.网络安全渗透测试—[常规漏洞挖掘与利用篇5]—[文件包含漏洞详解实战示例]

    我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.文件包含漏洞详解 1.文件包含漏洞相关概念 2.PHP文件包含漏洞相关概念 3.PHP文件包含漏洞利用:`构 ...

  9. mysql 5 可执行漏洞_漏洞预警:MySQL 0-day代码执行漏洞 可本地提权

    来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支.默认配置的MySQL服务器(5.7.5.6和5.5),包括最新版本.攻击者可以远程和本地 ...

最新文章

  1. python androidhelper 语音识字_Android语音播报、后台播报、语音识别
  2. 吕布流水账 -- 纪念我的爱情
  3. jquery实现定时调度(倒计时)
  4. 声学测试软件手机版_最新手机性能排名:小米84万分拿到第一,iQOO5Pro第五,华为?...
  5. Androd安全——反编译技术完全解析
  6. Assign the task HDU - 3974(线段树+dfs建树+单点查询+区间修改)
  7. python如何下载库_python中如何下载库
  8. Java笔记-JNI中简单的参数与返回值处理
  9. oracle 12创建一个表,oracle 12 c 创建表空间,用户名,及表
  10. AI算法工程师 | 01人工智能基础-快速入门
  11. 如何增加无人机的飞行时间和升力?
  12. MFC去掉窗口右上方最大化最小化关闭按钮
  13. 【Python3】简易爬虫实现船舶的MMSI的获取
  14. 计算机硬盘的文件怎么删除文件,电脑硬盘删除文件怎么恢复
  15. 用c语言实现图片的任意倍数缩小和放大
  16. 编程十年 (14):毁人不倦2
  17. Qt学习笔记--文件读写(QFile、QDataStream、QTextStream)
  18. 白骨精写给孙悟空的信
  19. 英语 译林 2019 单词表
  20. 2021外卖cps小程序项目|外卖红包cps带好友返利佣金分销系统程序|饿了么美团联盟源码

热门文章

  1. 电脑城特别加强工具盘【2008年春季版】
  2. 服务器芯片尺寸,服务器CPU/ECC内存校验的Intel C246芯片组电路板尺寸
  3. win7咱么锁定计算机,怎么锁定计算机?Win7锁定电脑屏幕的步骤
  4. sql2000备份数据库文件如何还原到sql2008数据库中
  5. c语言过河小游戏代码,闲来没事撸了一个控制台小游戏
  6. Google Earth Engine(GEE)——计算水体面积提取2013-2020年青海湖面积的为例
  7. 在苏联时期有没有计算机语言,俄罗斯留学时没有语言可以过去吗
  8. 使用客户管理系统分析企业数据
  9. 鸿蒙座舱子品牌来了,华为发布 HarmonySpace:万物互联的智能出行空间
  10. iphone小小总结