MySQL官方最近做了一个大的安全漏洞补丁，修复了25 个安全漏洞，关于这些漏洞细节官方和媒体目前为止还有比较少的介绍和分析文章。在此笔者搜集下相关的详细，从邮件讨论组趴到一些细节信息，在此介绍一下几个比较重要的、高危的漏洞。包括CVE-2018-2696，CVE-2018-2591和CVE-2018-2562。

CVE-2018-2696 mysql: sha256_password 认证长密码拒绝式攻击

该漏洞源于MySQL sha256_password认证插件，该插件没有对认证密码的长度进行限制，而直接传给my_crypt_genhash()用SHA256对密码加密求哈希值。该计算过程需要大量的CPU计算，如果传递一个很长的密码时候，会导致CPU耗尽。而且该公式Mysql的实现中使用alloca()进行内存分配，无法对内存栈溢出保护，可能导致内存泄露、进程崩溃，从而可能实现代码执行。

MySQL <= 5.6.38 和MySQL <= 5.7.20 受影响。mariadb分支版本不受该漏洞影响。

CVE-2018-2562 MySQL**分区未指定的漏洞**

漏洞源于 Oracle MySQL 服务器分区组件。影响5.5.58及之前版本，5.6.38及之前的版本，5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击，也可以无需授权更新、插入、删除数据库中的可以访问的数据。

mariadb分支版本也受该漏洞影响。

CVE-2018-2591 MySQL**分区未指定的漏洞**

漏洞源于 Oracle MySQL 服务器分区组件。影响5.6.38及之前的版本，5.7.19及之前的版本。该漏洞允许低权限通过多种协议对服务器进行拒绝式攻击。

mariadb分支版本不受该漏洞影响。

漏洞利用条件和方式:

目前还未有具体的POC，但是通过漏洞介绍，三者都可以通过远程攻击。

漏洞防范和修复:

1、目前Oracle官方已经最新版本，建议自建MySQL服务用户及时手工下载更新：

2、防火墙或者云安全组限制mysql端口(默认为3306)限制mysql访问。

3、建议选择Mysql开源分支mariadb，该分支完全兼容mysql并提供更多功能和性能。

参考信息:

相关资源：WindowsSMB高危漏洞-Java工具类资源

原文：https://blog.csdn.net/weixin_33240461/article/details/113599870

mysql5.7的高危漏洞_应用CVE： 最新的Mysql高危漏洞介绍相关推荐

1. mysql漏洞_应用CVE： 最新的Mysql高危漏洞介绍

   MySQL官方最近做了一个大的安全漏洞补丁,修复了25 个安全漏洞,关于这些漏洞细节官方和媒体目前为止还有比较少的介绍和分析文章.在此笔者搜集下相关的详细,从邮件讨论组趴到一些细节信息,在此介绍一下几 ...

2. fckeditor漏洞_三十，文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御

   一.编辑器漏洞 1.编辑器 编辑器属于第三方软件,它的作用是方便网站管理员上传或编辑网站上的内容,类似我们电脑上的Word文档. 编辑器通常分为两种情况: (1) 不需要后台验证,可以直接在前台访问且 ...

3. java内存漏洞_处理Java程序中的内存漏洞

   Java 程序中也有内存漏洞?当然有.与流行的观念相反,在 Java 编程中,内存治理仍然是需要考虑的问题.在本文中,您将了解到什么会导致内存漏洞以及何时应该关注这些漏洞.您还有机会实践一下在您自己的 ...

4. wordpress漏洞_多个WordPress插件SQL注入漏洞分析

   背景 SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞.比如: 图1: 使用WordPress的SQL查询示例 从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的 ...

5. rmi 反序列化漏洞_提醒：Apache Dubbo存在反序列化漏洞

   背景: 近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行.Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框 ...

6. mysql5.7下载 阿里云_运维CentOS7下mysql 5.7 下载并安装

   cd /usr/local/ 1,下载mysql5.7 wget https://cdn.mysql.com//Downloads/MySQL-5.7/mysql-5.7.22-linux-glibc ...

7. thinkphp漏洞_【组件攻击链】ThinkCMF 高危漏洞分析与利用

   一.组件介绍 1.1 基本信息 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架.ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形 ...

8. thinkphp日志泄漏漏洞_【Windows高危漏洞预警】CVE20200601，影响关键加密功能

   一.事件报告 2020年伊始,NSA发现了一个影响Microsoft Windows加密功能的严重漏洞(CVE-2020-0601).证书验证漏洞允许攻击者破坏Windows验证加密信任的方式,并且可 ...

9. android 动画 最顶层_【Android编程实战】StrandHogg漏洞复现及原理分析_Android系统上的维京海盗...

   0x00 StrandHogg漏洞详情 StrandHogg漏洞 CVE编号:暂无 [漏洞危害] 近日,Android平台上发现了一个高危漏洞 该漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用 ...

最新文章

1. 吴恩达机器学习 Coursera 笔记(三) - 线性回归回顾
2. C++的迭代器Interator
3. android activity焦点,android启动activity文本框不获得焦点
4. 2017.5.2AM
5. HDFS某个节点的磁盘满了
6. 二进制安装kubernetes v1.11.2 （第十章 kube-scheduler集群部署）
7. Python中函数的用法
8. 黑白风格android,颜色风格略不同 黑白华为Mate对比图赏
9. eclipse的优缺点
10. 软件视频会议系统 服务器要求,视频会议系统招标要求.docx
11. 制作自己的 Cydia 源
12. 前端搞一个扭蛋抽奖小动画？
13. 论文的参考文献格式怎么弄呢？
14. IntelliJ IDEA更换代码字体为Consolas
15. ajax ssm 页面跳转_ssm项目实战实现页面的局部刷新功能
16. 软考高级软件架构师学习笔记二（软件工程）
17. LaTex - PPT 换页动态效果(亲测有效)
18. 快速收集图片并批量重命名（在线收集表、QQ收集表、腾讯收集表+方方格子）（图片批量重命名）
19. 数据治理三大件：元数据、数据标准、数据质量（PPT）
20. 商机 | 大数据/政务云采购清单 招标12起，最高招标价为2037.5万（11.8-11.10）

热门文章

1. webpack梳理之babel(.babelrc)
2. python如何用c语言表示_如何在python中调用C语言代码
3. Python 字符串拼接的方式（去掉空格）
4. Calendar类的常用方法分享
5. 京东上千页面搭建基石——CMS前后端分离演进史
6. 定时器TIMER结构框图
7. 育碧再推3款多人在线游戏，随时随地 Party time！
8. 18款超看好纯css 标题栏
9. SQL中的字符串截取函数
10. Docker 网络模式