美国时间2017年12月16日,Oracle官方发布安全公告。该次公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞,它可以在无需认证的条件下,被远程利用发动拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。
漏洞详情见下文。
漏洞编号
CVE-2018-2562至2591
漏洞名称
MySQL多个安全漏洞
官方评级
高危
漏洞描述
根据Oracle官方公告介绍,本次公告修复MySQL的多个远程安全漏洞,其中CVE-2018-2562及CVE-2018-2591较为严重,可以直接被远程利用发动攻击。攻击者可以利用漏洞获取数据、篡改数据或导致拒绝服务,从而影响MySQL服务。
漏洞利用条件和方式
通过PoC直接远程利用。
PoC状态
未公开
漏洞影响范围
MySQL 5.6.x <= 5.6.38
MySQL 5.7.x <= 5.7.20
具体受影响范围参见安全公告详情。
漏洞检测
开发人员应检查是否使用了受影响版本范围内的MySQL服务。
漏洞修复建议(或缓解措施)
Oracle官方已经最新版本,建议自建MySQL服务的用户及时手工下载更新:
注意:建议您在版本升级前使用ECS快照功能做好数据备份工作,避免升级过程中发生意外。
对自建MySQL服务进行安全加固,如配置安全组策略,禁止3306直接通过外网访问,防止被黑客远程利用等。
情报来源