安全 - MySQL 出现严重的密码安全漏洞,许多系统存在风险
MySQL的密码系统最近被发现一个非常严重的漏洞,它使得任何人都可以轻松地以root来访问数据库服务器。这可能是近年来最严重的MySQL或者数据库漏洞,不过幸运的是只有一部分系统受到了影响。
ChinaNetCloud使用的MySQL.org官方发行版未受影响,没有问题,但是大多数的Ubuntu、Debian、Fedora和许多其它发行版似乎都受到了影响。 Red Hat和Mysql/Oracle的官方发行版也没有问题。核心漏洞实际上来自于一些编译中的编译器优化问题(如用GCC处理SSE)。
使得情况更糟的是,很多网站没有正确地保护它们的数据库。我们发现许多数据库服务器的系统都有一个公网IP,却没架设防火墙,同时数据库用户的设置也很不合理——最近的一次网上调查发现了175万例此种情况。即便其中仅仅10%受到了影响,那也将有成千上万的数据库会在短短几秒钟内突然处于可以被黑的状态。
立刻检查您的系统,或者给我们打求助电话,因为我们可以告诉您哪些发行版容易受到攻击,并且为您提供相应的检查工具及代码。
上面的情况也说明了为什么ChinaNetCloud使用的多重安全防护策略才是抵御这种问题的最好方式。因为我们会使用物理和主机防火墙,尽可能的采用内网IP,严格限制数据库用户的主机来源的同时,尽可能多地限制用户权限(例如我们只启用localhost的unix端口来允许root访问,因此任何类似上面情况的root网络攻击都将是无用的)。多重防护有助于确保如果某一层出现了严重问题,那么其他层的防护可以继续保护您的系统,或者至少限制损害的范围。
我们从不使用很难升级和修复的源代码版本进行手动编译安装。我们相信,最好的做法是使用官方最广泛使用及知名的版本和编译好的内容进行安装,这么做,漏洞可以非常快的被找到和修复。
我们可以通过免费的审计工作来帮助您改善安全问题;如有兴趣,可以立刻联系我们,或通知您的销售经理来联系我们。
引用: http://seclists.org/oss-sec/2012/q2/493
引用:
https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql