CVE-2012-2122: MySQL身份认证漏洞
我今天早上打开电脑,在seclists中看到一个很惊人的thread:http://seclists.org/oss-sec/2012/q2/493MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。不过,MySQL身份认证的时候是采用3元组,username,ip,password。如果client的IP在mysql.user表中找不到对应的,也无法登陆。这个BUG实际上早在4月份就被发现了,今年5月7号,MySQL发布5.5.24的时候,修正了这个BUG。
原文:http://www.udpwork.com/item/7463.html 首先All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22。lnmp的mysql的版本是5.1.60不在这个漏洞列表里
其次lnmp的mysql 根本不允许远程连接,连都连不上根本就没法弄
再其次phpmyadmin不存在这种漏洞
再再其次除非你系统被拿下了才能运用漏洞利用程序获得mysql权限,如果root都被拿下了哪获得mysql权限就不用 这个漏洞了
再再再其次我用漏洞利用程序试了一千次都没进去
回复 2# 的帖子
谢谢答复,我的疑惑解了。 谢谢答复,我的疑惑解了。
页:
[1]