开发者社区> 问答> 正文

[漏洞预警]MySQL代码执行漏洞(CVE-2016-6662)



一、漏洞描述和危害

MySQL 中的 logging 功能设置不当,导致外部攻击者能以一个低权限(拥有 SELECT 和 FILE 权限)的 MySQL 账号,通过修改 my.cnf 文件达到运行任意代码的目的。攻击者可通过对外开放的 MySQL 服务,或者是基于 Web 的 MySQL 管理应用,甚至是 SQL 注入漏洞实施攻击。由于大部分 MySQL 服务都是以系统 Root 账号运行,因此黑客一旦成功利用漏洞,则可以控制整个服务器,危害十分严重。

二、受影响的软件及系统

MySQL <= 5.7.15

MySQL <= 5.6.33

MySQL <= 5.5.52

MySQL 分支的版本也受影响,包括:

MariaDB

PerconaDB

三、修复方案

1、将 MySQL 所有账号的密码改为强密码,建议使用十位以上数字+字母+特殊符号的强密码。

2、整理 MySQL 中存在 FILE 权限的账号列表,去掉不必要的 FILE 权限。

3、及时关注 MySQL 官方发布的补丁。

展开
收起
英鸷 2016-09-13 00:55:11 7701 0
3 条回答
写回答
取消 提交回答
  • Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
    现在官网好像还没发布补丁,蓝瘦
    2016-10-18 11:55:15
    赞同 展开评论 打赏
  • Re漏洞预警MySQL代码执行漏洞(CVE-2016-6662)
    果断的收藏了
    2016-09-18 20:18:52
    赞同 展开评论 打赏
  • 同步下,阿里云DMS针对您的自建库也也已经屏蔽相关语句执行操作(包含INTO OUTFILE&LOAD DATA),可继续放心使用,相关其它业界产品短期内未修复。
    2016-09-14 17:16:54
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
搭建电商项目架构连接MySQL 立即下载
搭建4层电商项目架构,实战连接MySQL 立即下载
PolarDB MySQL引擎重磅功能及产品能力盛大发布 立即下载

相关镜像