阅读更多

13顶
6踩

数据库
近日,在MySQL和MariaDB(MySQL的一个分支版本)中爆出了一个严重的安全漏洞:在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。

版本受影响情况:

  • MariaDB 和 MySQL 5.1.61、5.2.11、5.3.5 和 5.5.22 之前的版本受影响。
  • MariaDB  5.1.62、5.2.12、5.3.6 和 5.5.23 之后的版本不受影响。
  • MySQL 5.1.63、5.5.24、5.6.6 之后的版本不受影响。
这个 Bug 在官方编译的版本中没有发现。如果你是下载的源码,然后自己编译的就有可能遇到这个问题。

这个问题和 memcmp() 这个函数的返回值有关系。目前知道的情况来看,gcc 自带的 memcmp 是安全的,BSD libc 的 memcmp 是安全的。Linux glibc sse 优化过的 memcmp 会有这个问题。

详细信息:http://seclists.org/oss-sec/2012/q2/493
13
6
评论 共 15 条 请登录后发表评论
15 楼 闯一个世界 2013-01-06 15:24
希望现在解决了啊 !!!
14 楼 小鱼不爱水 2012-08-20 10:33
erpaoshouling 写道
太犀利了,才平均大约256次

这人真是闲的蛋疼!
13 楼 闯一个世界 2012-07-12 20:20
bug是少不了的,只有去找到解决的方案才是正道。
12 楼 pdreamer 2012-06-20 14:54
MySQL 频频爆出漏洞,我把我的MySQL账号密码在网站首页弹出,访问者就可能有管理我的MySQL的权限
11 楼 NjuBee 2012-06-14 12:03
bcw104 写道
弄了半天不是mysql的问题


是mysql的问题

"Linux glibc sse 优化过的 memcmp 会有这个问题。"
这句话不完全正确,

正确说法是 "Linux glibc sse 优化过的 memcmp 使得mysql的问题暴露了"
10 楼 erpaoshouling 2012-06-14 11:02
太犀利了,才平均大约256次
9 楼 fjjiaboming 2012-06-14 09:14
rpm 包, centos下安装. 安然.
8 楼 jjcang 2012-06-13 22:47
汗啊。这也能找出来?
7 楼 413277409 2012-06-13 20:11
6 楼 redcoatjk 2012-06-13 17:15
这也行
5 楼 lr2007 2012-06-13 17:09
jiong
4 楼 bcw104 2012-06-13 12:32
弄了半天不是mysql的问题
3 楼 aegeanmoon 2012-06-12 23:49
雷人。
夸张。。。。。。。。。。
2 楼 w3kiccp 2012-06-12 17:11
yum安装的mysql表示无压力
1 楼 herryhcm 2012-06-12 16:39
  

我了个去。。。。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics