阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 5699阅读
  • 3回复

[安全漏洞公告专区][漏洞预警]MySQL代码执行漏洞(CVE-2016-6662)

发帖
29
云币
51
aLl=L_  
pk`5RDBu  
一、漏洞描述和危害 *R}p9;dpO  
Zv2]X-  
MySQL 中的 logging 功能设置不当,导致外部攻击者能以一个低权限(拥有 SELECT 和 FILE 权限)的 MySQL 账号,通过修改 my.cnf 文件达到运行任意代码的目的。攻击者可通过对外开放的 MySQL 服务,或者是基于 Web 的 MySQL 管理应用,甚至是 SQL 注入漏洞实施攻击。由于大部分 MySQL 服务都是以系统 Root 账号运行,因此黑客一旦成功利用漏洞,则可以控制整个服务器,危害十分严重。 8"TlWHF`  
E 6+ ooB[  
二、受影响的软件及系统 qI>,PX  
k<x7\T  
MySQL <= 5.7.15 l$[,V:N  
K4 -_a{)/  
MySQL <= 5.6.33 qHgzgS7a  
I5)$M{#a  
MySQL <= 5.5.52 U{qwhz(  
3,EtyJ3[Bh  
MySQL 分支的版本也受影响,包括: %g^:0me`  
FY-eoq0O3  
MariaDB c>3j $D+  
u1gD*4+  
PerconaDB 6J_$dzw  
2a;[2':  
三、修复方案 tt CC] Q  
@^J>. g  
1、将 MySQL 所有账号的密码改为强密码,建议使用十位以上数字+字母+特殊符号的强密码。 < 2fy(9y  
w+Gav4  
2、整理 MySQL 中存在 FILE 权限的账号列表,去掉不必要的 FILE 权限。 0|i|z !N>  
)TyP{X>  
3、及时关注 MySQL 官方发布的补丁。 HGDiwA  
2G<XA  
级别: 码农
发帖
162
云币
173
只看该作者 沙发  发表于: 2016-09-14
同步下,阿里云DMS针对您的自建库也也已经屏蔽相关语句执行操作(包含INTO OUTFILE&LOAD DATA),可继续放心使用,相关其它业界产品短期内未修复。 K r<UPr  
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 2016-09-18
Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
果断的收藏了
级别: 新人
发帖
1
云币
1
只看该作者 地板  发表于: 2016-10-18
Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
现在官网好像还没发布补丁,蓝瘦
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 30 + 7 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)