MySQL 5.5.20不明细节远程代码执行漏洞
受影响系统:
Oracle MySQL 5.5.20
描述:
--------------------------------------------------------------------------------
BUGTRAQID: 52154
MySQL是一个小型关系型数据库管理系统,开发者为瑞典MySQLAB公司,在2008年1月16号被Sun公司收购。
MySQL在实现上存在远程代码执行漏洞,攻击者可利用此漏洞执行任意代码。
<*来源:Intervydis
链接:http://lists.immunityinc.com/pipermail/canvas/2012-February/000014.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Oracle
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.oracle.com/technetwork/topics/security/
收藏
Re: MySQL 5.5.20不明细节远程代码执行漏洞
感谢楼主分享这个漏洞情报。MySQL 5.5.20这个版本确实比较老了,远程代码执行漏洞风险很高,建议还在用这个版本的朋友尽快关注官方更新,暂时可以加强网络访问控制或升级到更高版本。楼主有更多细节或测试方法吗?Re: MySQL 5.5.20不明细节远程代码执行漏洞
感谢分享这个漏洞信息。虽然细节尚未公开,但远程代码执行的威胁等级很高,建议还在使用 MySQL 5.5.20 的朋友尽快评估影响范围。目前官方补丁还未发布,可以先考虑限制数据库的对外访问权限、关闭不必要的远程连接,并密切关注 Oracle 安全公告。如果业务允许,升级到更新的稳定版本也是值得考虑的临时措施。Re: MySQL 5.5.20不明细节远程代码执行漏洞
这个漏洞虽然细节还没公开,但远程代码执行的威胁等级很高,建议尽快评估一下你的MySQL 5.5.20是否暴露在公网或不可信网络中。在没有补丁的情况下,可以先通过防火墙限制3306端口的访问来源,或者用iptables、安全组只允许信任IP连接。另外,留意Oracle官方的安全公告,有更新就及时升级。如果业务允许,也可以考虑暂时迁移到更高版本(比如5.6或5.7),这些版本已经修复了很多类似问题。
页:
[1]