[BUG反饋] ]【漏洞公告】CVE-2017-3305:MySQL中間人攻擊Riddle漏洞

zlbusiness

2017年4月15日，國外安全研究人員爆出，DBMS Oracle MySQL中存在Riddle漏洞，攻擊者可以利用漏洞和中間人身份竊取用戶名和密碼。    J[|
y:N  
具體詳情如下:                                   n+9=1Oo"  
   

---

漏洞編號: C3f'        {}  
CVE-2017-3305 J1U/.`Oy  
漏洞名稱: W+c<2?d:  
MySQL中間人攻擊Riddle漏洞 }-{H                Y  
漏洞描述: `{h*/Q  
Riddle中間人漏洞是一個在Oracle MySQL 5.5和5.6客戶端數(shù)據(jù)庫中發(fā)現(xiàn)的高危安全漏洞。允許攻擊者在中間人位置使用Riddle漏洞破壞MySQL客戶端和服務(wù)器之間的SSL配置連接。 .hb:s,0mP  
漏洞利用條件和方式: ?4}h&/  
可以通過工具可以實現(xiàn)遠程中間人攻擊。 i^&~?2  
漏洞影響范圍: 7aRi5  

• 受影響版本:MySQL 5.5 and 5.6客戶端
• 不受影響版本:5.7版本之后以及MariaDB不受此漏洞影響
• 阿里云RDS為服務(wù)端，不受此漏洞影響。

?p{Nwl#  
漏洞檢測:  _"yh.N&  
查看MySQL客戶端版本是否在受影響版本內(nèi) 2zA4vZkbcw  

[url=]復制代碼[/url]

• mysql> select version();
• +-----------+
• | version() |
• +-----------+
• | 5.1.69 | ---受影響
• +-----------+
• 1 row in set (0.12 sec)

漏洞修復建議(或緩解措施): 4Z=_,#h4.  

• 更新到MySQL 5.7版本或或MariaDB

`?rSlR@+[I  

• 使用安全組公網(wǎng)入策略或MySQL授權(quán)功能限制3306遠程登錄源IP地址

O63<AY@  
情報來源: )EuvRLo{S7  

• http://securityaffairs.co/wordpress/58019/hacking/oracle-mysql-riddle-vulnerability.html

zlbusiness

這個問題怎么解決，原來的是mysql5.5，如何更新到5.7，還不影響數(shù)據(jù)

zlbusiness

這個問題能解決下嗎？

chenluoo

備份數(shù)據(jù)，重新安裝新版本數(shù)據(jù)庫就是了，兼容:lol

lanyeit

WDCP默認沒有開通3306外鏈，應(yīng)該是安全的