MySQL 严重 Bug - 用户登陆漏洞
2013-04-22 18:39
337 查看
Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。受影响的版本:All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.详情:http://seclists.org/oss-sec/2012/q2/493这个 Bug 在官方编译的版本中没有发现。如果你是下载的源码,然后自己编译的就有可能遇到这个问题。这个问题和 memcmp() 这个函数的返回值有关系。目前知道的情况来看,gcc 自带的 memcmp 是安全的,BSD libc 的 memcmp 是安全的。Linux glibc sse 优化过的 memcmp 会有这个问题。测试脚本:
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.详情:http://seclists.org/oss-sec/2012/q2/493这个 Bug 在官方编译的版本中没有发现。如果你是下载的源码,然后自己编译的就有可能遇到这个问题。这个问题和 memcmp() 这个函数的返回值有关系。目前知道的情况来看,gcc 自带的 memcmp 是安全的,BSD libc 的 memcmp 是安全的。Linux glibc sse 优化过的 memcmp 会有这个问题。测试脚本:
$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done
mysql>
相关文章推荐
- MySQL 严重 Bug - 用户登陆漏洞[转发]
- MySQL 严重 Bug - 用户登陆漏洞
- mysql如何切换用户登陆
- JSP+Servlet+Tomcat+Mysql实现用户注册、登陆、修改、添加、查看详情、分页实例之---数据库
- android-servlet-mysql servlet代码实现用户登陆 (结合上一篇jdbc封装里面的方法)
- MySQL入门--查看当前的mysql客户端版本号、当前系统时间、登陆的用户
- mysql 用户 登陆 权限相关
- WAMP2.5 MySQL新建用户后无法登陆的解决方法
- MySQL 数据库中用户表中口令登陆设置
- 如何用 MySQL 进行存储过程编写,以用户登陆为例,结构清晰,涵盖内容很多
- 开始Mysql(用户登陆)5
- 【mysql】linux用yum安装mysql后,登陆root用户提示ERROR 1045 (28000): Access denied for user 'root'@'localhost' (..
- mysql增加新用户无法登陆解决方法
- mysql 添加用户,授权,远程登陆,远程导入导出数据库,用户及权限查询,新增用户无法登陆,
- mysql 创建 用户 并赋权 远程登陆
- MySQL Study之--MySQL普通用户无法本地登陆
- mysql 设置远程登陆以及新增用户
- 漏洞播报_MySQL-严重漏洞.再爆MySQL远程ROOT执行和权限提升漏洞?
- MySQL用户密码过期登陆报错ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing this statement.
- 关于mysql用户登陆、配置问题解决方法