IT技術(shu)互動交流平台(tai)

福建体彩网官网

發布日期︰2020-02-27 16:01:09

由于客戶端在連接MySQL時SSL選(xuan)項使(shi)用不(bu)當bao) jiang)可能引起中間(jian)人(ren)攻擊。該漏洞(dong)將(jiang)導致數據庫(ku)通信數據以明文形式(shi)在網(wang)絡上傳(chuan)輸(shu)。

漏洞(dong)詳情

這個(ge)漏洞(dong)與客戶端的”ssl”選(xuan)項有著很(hen)大關系(xi),這個(ge)選(xuan)項在受影響的版本中處于”建(jian)議使(shi)用”的級別。因此,當客戶端嘗試和服務器端si)諧跏薊hua)SSL/TLS連接時bao) jiang)不(bu)會要求使(shi)用這一選(xuan)項。這就幫(bang)助MITM攻擊者(zhe)輕易地(di)去除了SSL/TLS保(bao)護。

這個(ge)問題(ti)同樣影響到了SSL客戶端的其它(ta)SSL選(xuan)項上(比如’—ssl-xxx’)。Oracle MySQL的技術(shu)產品主管也(ye)在blog中對“ssl”問題(ti)進行了具體(ti)的說明。

即使(shi)服務器選(xuan)擇了”REQUIRE SSL”選(xuan)項,MitM攻擊者(zhe)仍可以代理(li)的角色出(chu)現在客戶和服務器之間(jian)。這就使(shi)得他可以對客戶和代理(li)之間(jian)的連接進行降級,從而(er)使(shi)其間(jian)的MySQL流量處于未(wei)加密狀態,盡管代理(li)和服務器端之間(jian)的流量處于加密狀態。

目(mu)前該漏洞(dong)已(yi)被標(biao)定為 CVE-2015-3152 (針(zhen)對MariaDB 和Percona),另外有人(ren)指(zhi)出(chu)這一漏洞(dong)和數年(nian)前ssltrip攻擊有很(hen)多相似之處。

影響範圍

MySQL 5.7.3以前的版本,C開發環境(jing)下(xia)的mu)突?絲ku)Connector/C(libmysqlclient)、MariaDB 和 Percona服務器。

安全建(jian)議

升級MySQL到5.7.4以後的版本,對應相關的mu)ku)及時的打補丁(ding),使(shi)用“REQUIRE  X509”選(xuan)項,使(shi)用SSH隧(sui)道等。

Tag標(biao)簽︰安全漏洞(dong)  
  • 福建体彩网官网

About IT165 - 廣告服務 - 隱私(si)聲明 - 版權申(shen)明 - 免責(ze)條款 - 網(wang)站地(di)圖 - 網(wang)友投稿(gao) - 聯系(xi)方式(shi)
本站內(na)容來(lai)自于互聯網(wang),僅供用于網(wang)絡技術(shu)學習,學習中請遵循相關法律法規
福建体彩网官网 | 下一页