微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2012-12-31 16:18 | 顯示全部樓層 |閱讀模式

在這今年的最後一個月,MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表,他也公布了這些安全漏洞的概念證明(PoC)攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL,像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區(Heap)/堆疊區(Stack)溢位。這些漏洞已經被軟體廠商確認,並被分配了CVE編號:CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題,ExploitDB:2307323083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題:

  • (CVE-2012-5611):經由發送超長參數給GRANT FILE指令來發動,接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼,甚至導致資料庫崩潰。不過,要利用這個漏洞,必須要有有效的用戶名稱和密碼。
  • (CVE-2012-5612):一連串特製的指令可以導致堆積緩衝區溢出漏洞,像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功,可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
  • (CVE-2012-5614):可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
  • (CVE-2012-5615):MySQL內的列舉(Enumeration)漏洞,可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
  • (CVE-2012-5613):這不被視為軟體的安全漏洞,因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上,像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式,也被許多大公司所選用,像是Facebook、Google和Adobe等等。也因為它的普及,網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題,趨勢科技Deep Security已經發布了更新 – 12-032,包含一套新的DPI規則。建議使用者更新以下的DPI規則。


Exploit DB
CVE編號
DPI 規則名稱
1005264 – Oracle MySQL Server Command Length Restriction
1005045 – MySQL Database Server Possible Login Brute Force Attempt*
1005265 – Oracle MySQL Server Denial Of Service Vulnerability

1005263 – Windows MySQL Server Remote Code Execution
1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability

1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時,我們還沒看到任何利用這些概念證明碼進行的攻擊。


@原文出處:Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者:Pavithra Hanchagaiah(資深安全研究員)


http://blog.trendmicro.com.tw/?p=3693


該用戶從未簽到

發表於 2012-12-31 17:55 | 顯示全部樓層
除了要更新mysql的版本以外
好的防火牆+規則是一定要的~~
回覆

使用道具 舉報

該用戶從未簽到

發表於 2012-12-31 23:26 | 顯示全部樓層
MySQL 資料庫對企業和網通業者很重要
若有漏洞,損失會很嚴重
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-1 00:44 | 顯示全部樓層
MySQL本身應該也會這個做修正吧,不然就太危險了
另外也有其他資料庫軟體可替代MySQL
MariaDB
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-1 03:24 | 顯示全部樓層
divale 發表於 2013-1-1 00:44
MySQL本身應該也會這個做修正吧,不然就太危險了
另外也有其他資料庫軟體可替代MySQL
像MariaDB ...

MariaDB~~~
我想非常有機會取代MySQL
畢竟Oracle遲早要賺錢啊~~~~


回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-1 10:25 | 顯示全部樓層
lmam.ou 發表於 2013-1-1 03:24
MariaDB~~~
我想非常有機會取代MySQL
畢竟Oracle遲早要賺錢啊~~~~

而且經測試,MariaDB還比MySQL稍快
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-1 13:40 | 顯示全部樓層
divale 發表於 2013-1-1 10:25
而且經測試,MariaDB還比MySQL稍快

我比較在意的是安全性以及開放性
如果在windows的架構下效能有所提升
那當然是好事一件^O^

回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-1 15:28 | 顯示全部樓層
lmam.ou 發表於 2013-1-1 13:40
我比較在意的是安全性以及開放性
如果在windows的架構下效能有所提升
那當然是好事一件^O^

它的開放性應比MySQL好,有部分MySQL的功能沒有開放源碼,它有
相容性看來也不錯,甚至mysql-client也能用在MariaDB
這群開發者大概不放心Oracle買下MySQL,就從MySQL改寫了MariaDB,做了些加強,同時也考慮了與MySQL的相容問題
現在的應用看似不多,假以時日,使用MariaDB的應用程式增加時,大概就會引起注意了
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-3 00:29 | 顯示全部樓層
divale 發表於 2013-1-1 15:28
它的開放性應比MySQL好,有部分MySQL的功能沒有開放源碼,它有
相容性看來也不錯,甚至mysql-client也能 ...

沒錯~~~
MariaDB是可相容同版本的MySQL
但最近的CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。
MariaDB沒看到有啥補救措施
而MySQL目前比較有確定的版本會出包
而我就直接升級5.5.29版比較安心
這點就看MariaDB團隊有啥回應
畢竟沒人希望自己的站被人摸掉~~~


回覆

使用道具 舉報

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-11 12:08

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表