设为首页收藏本站
切换到窄版

VPS侦探论坛

 找回密码
 注册
VPS侦探论坛»VPS侦探论坛 技术交流区 数据库服务器 CVE-2012-2122: MySQL身份认证漏洞
返回列表 发新帖
查看: 10933|回复: 3

[Oracle] CVE-2012-2122: MySQL身份认证漏洞

[复制链接]
itopidea
发表于 2012-6-11 13:36:40 | 显示全部楼层 |阅读模式

我今天早上打开电脑,在seclists中看到一个很惊人的thread:http://seclists.org/oss-sec/2012/q2/493MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。不过,MySQL身份认证的时候是采用3元组,username,ip,password。如果client的IP在mysql.user表中找不到对应的,也无法登陆。

这个BUG实际上早在4月份就被发现了,今年5月7号,MySQL发布5.5.24的时候,修正了这个BUG。

原文:http://www.udpwork.com/item/7463.html
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复

举报

licess
发表于 2012-6-12 09:54:26 | 显示全部楼层


首先All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22。lnmp的mysql的版本是5.1.60不在这个漏洞列表里
其次lnmp的mysql 根本不允许远程连接,连都连不上根本就没法弄
再其次phpmyadmin不存在这种漏洞
再再其次除非你系统被拿下了才能运用漏洞利用程序获得mysql权限,如果root都被拿下了哪获得mysql权限就不用 这个漏洞了
再再再其次我用漏洞利用程序试了一千次都没进去
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
回复 支持 反对

举报

itopidea
 楼主| 发表于 2012-6-13 06:10:33 | 显示全部楼层

回复 2# 的帖子


谢谢答复,我的疑惑解了。
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
回复 支持 反对

举报

shangdong123
发表于 2012-7-6 16:28:55 | 显示全部楼层



谢谢答复,我的疑惑解了。
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-5-17 14:59 , Processed in 0.026136 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表