阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5696阅读
  • 3回复

[安全漏洞公告专区][漏洞预警]MySQL代码执行漏洞(CVE-2016-6662)

发帖
29
云币
51
{x_SnZz&  
a4{~.Mp  
一、漏洞描述和危害 T6mbGE*IeE  
K ?uH Am  
MySQL 中的 logging 功能设置不当,导致外部攻击者能以一个低权限(拥有 SELECT 和 FILE 权限)的 MySQL 账号,通过修改 my.cnf 文件达到运行任意代码的目的。攻击者可通过对外开放的 MySQL 服务,或者是基于 Web 的 MySQL 管理应用,甚至是 SQL 注入漏洞实施攻击。由于大部分 MySQL 服务都是以系统 Root 账号运行,因此黑客一旦成功利用漏洞,则可以控制整个服务器,危害十分严重。 q9+`pj  
K!~j}z*  
二、受影响的软件及系统 9|BH/&$  
^V6cx2M  
MySQL <= 5.7.15 C.]\4e  
b^s978qn#  
MySQL <= 5.6.33 q~:H>;:G-  
-%f$$7  
MySQL <= 5.5.52 >%6a$r~@  
k|uW~ I)  
MySQL 分支的版本也受影响,包括: D@W[Nd5MJ  
3(o}ulp  
MariaDB '0b!lVe  
"R<c  
PerconaDB 1PGY/c  
}^Ymg7wA  
三、修复方案 fI<|]c}P&J  
1 sJtkge:  
1、将 MySQL 所有账号的密码改为强密码,建议使用十位以上数字+字母+特殊符号的强密码。 meF.`fh  
Q H>e_  
2、整理 MySQL 中存在 FILE 权限的账号列表,去掉不必要的 FILE 权限。 J^w!?nk  
W _b!FQ]  
3、及时关注 MySQL 官方发布的补丁。 EN2H[i+,  
"5wer5? t  
级别: 码农
发帖
162
云币
173
只看该作者 沙发  发表于: 2016-09-14
同步下,阿里云DMS针对您的自建库也也已经屏蔽相关语句执行操作(包含INTO OUTFILE&LOAD DATA),可继续放心使用,相关其它业界产品短期内未修复。 S"<"e\\}"_  
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 2016-09-18
Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
果断的收藏了
级别: 新人
发帖
1
云币
1
只看该作者 地板  发表于: 2016-10-18
Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
现在官网好像还没发布补丁,蓝瘦
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)