秋霞电影院午夜理论片费看,国产美女自卫慰视频福利app,av亚洲产国偷v产偷v自拍av,狠狠做久久深爱婷婷97,狠狠做久久深爱婷婷97

您好,歡迎進入銳速云官網!

售后熱線:4006-5050-10 QQ客服:2852917158 登錄 注冊

Oracle 發(fā)布關于 MySQL 服務的重大安全漏洞說明
編輯作者: tanym   發(fā)布時間:2018-01-25

Oracle官方近日發(fā)布安全公告,公告修復MySQL服務25個安全漏洞,在這些安全漏洞中,影響較大的CVE-2018-2696漏洞可以在無需認證的條件下,遠程利用導致拒絕服務攻擊。本次安全公告披露的安全漏洞數量較多,建議用戶關注。


漏洞編號: CVE-2018-2696,CVE-2018-2591,CVE-2018-2562


漏洞描述:


CVE-2018-2562  MySQL分區(qū)未指定的漏洞


漏洞源于Oracle MySQL服務器分區(qū)組件。影響5.5.58及之前版本,5.6.38及之前的版本,5.7.19及之前的版本。該漏洞允許低權限通過多種協(xié)議對服務器進行拒絕式攻擊,也可以無需授權更新、插入、刪除數據庫中的可以訪問的數據。


MariaDB分支版本也受該漏洞影響。


CVE-2018-2591  MySQL分區(qū)未指定的漏洞


漏洞源于Oracle MySQL服務器分區(qū)組件。影響5.6.38及之前的版本,5.7.19及之前的版本。該漏洞允許低權限通過多種協(xié)議對服務器進行拒絕式攻擊。


MariaDB分支版本不受該漏洞影響。


CVE-2018-2696  MySQL: sha256_password 認證長密碼拒絕式攻擊


該漏洞源于MySQL sha256_password認證插件,該插件沒有對認證密碼的長度進行限制,而直接傳給my_crypt_genhash()用SHA256對密碼加密求哈希值。該計算過程需要大量的CPU計算,如果傳遞一個很長的密碼時候,會導致CPU耗盡。而且該公式MySQL的實現(xiàn)中使用alloca()進行內存分配,無法對內存棧溢出保護,可能導致內存泄露、進程崩潰,從而可能實現(xiàn)代碼執(zhí)行。


MySQL <= 5.6.38 和MySQL <= 5.7.20 受影響。MariaDB分支版本不受該漏洞影響。


更多信息參考 :http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html


漏洞利用條件和方式:


通過PoC直接遠程利用。


PoC狀態(tài):


未公開


漏洞影響范圍:


具體受影響范圍參見漏洞描述部分。


漏洞檢測:


檢查是否使用了受影響版本范圍內的MySQL服務。


漏洞修復建議(或緩解措施):


1.目前Oracle官方已經發(fā)布最新版本,建議自建MySQL服務用戶及時手工下載更新:


MySQL 5.6.39 版本:https://dev.mysql.com/downloads/mysql/5.6.html


MySQL 5.7.21 版本:https://dev.mysql.com/downloads/mysql/5.7.html


https://downloads.mariadb.org/


2.建議選擇MySQL開源分支MariaDB,該分支完全兼容MySQL并提供更多功能和更好的性能。


參考信息:


http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#MSQL


https://access.redhat.com/security/cve/CVE-2018-2696


http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html


https://securitytracker.com/id/1040216


銳速云ddos防護 www.fanufanu.com 


版權所有:Copyright @ 2016-2022 深圳市銳速云計算有限公司 增值電信業(yè)務經營許可證
粵B1-20171508 備案系統(tǒng) 粵ICP備16119720號 粵公網安備 44030902000612號