标题: [BUG反馈] ]【漏洞公告】CVE-2017-3305:MySQL中间人攻击Riddle漏洞 [打印本页]

---

作者: zlbusiness    时间: 2017-4-26 16:24     标题: ]【漏洞公告】CVE-2017-3305:MySQL中间人攻击Riddle漏洞

2017年4月15日，国外安全研究人员爆出，DBMS Oracle MySQL中存在Riddle漏洞，攻击者可以利用漏洞和中间人身份窃取用户名和密码。    J[|
y:N  
具体详情如下:                                   n+9=1Oo"  
   

---

漏洞编号: C3f'        {}  
CVE-2017-3305 J1U/.`Oy  
漏洞名称: W+c<2?d:  
MySQL中间人攻击Riddle漏洞 }-{H                Y  
漏洞描述: `{h*/Q  
Riddle中间人漏洞是一个在Oracle MySQL 5.5和5.6客户端数据库中发现的高危安全漏洞。允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。 .hb:s,0mP  
漏洞利用条件和方式: ?4}h&/  
可以通过工具可以实现远程中间人攻击。 i^&~?2  
漏洞影响范围: 7aRi5  

• 受影响版本:MySQL 5.5 and 5.6客户端
• 不受影响版本:5.7版本之后以及MariaDB不受此漏洞影响
• 阿里云RDS为服务端，不受此漏洞影响。

?p{Nwl#  
漏洞检测:  _"yh.N&  
查看MySQL客户端版本是否在受影响版本内 2zA4vZkbcw  

[url=]复制代码[/url]

• mysql> select version();
• +-----------+
• | version() |
• +-----------+
• | 5.1.69 | ---受影响
• +-----------+
• 1 row in set (0.12 sec)

漏洞修复建议(或缓解措施): 4Z=_,#h4.  

• 更新到MySQL 5.7版本或或MariaDB

`?rSlR@+[I  

• 使用安全组公网入策略或MySQL授权功能限制3306远程登录源IP地址

O63<AY@  
情报来源: )EuvRLo{S7  

• http://securityaffairs.co/wordpress/58019/hacking/oracle-mysql-riddle-vulnerability.html

---

作者: zlbusiness    时间: 2017-4-26 16:24

这个问题怎么解决，原来的是mysql5.5，如何更新到5.7，还不影响数据

---

作者: zlbusiness    时间: 2017-4-26 16:53

这个问题能解决下吗？

---

作者: chenluoo    时间: 2017-4-27 07:15

备份数据，重新安装新版本数据库就是了，兼容:lol

---

作者: lanyeit    时间: 2017-4-27 10:10

WDCP默认没有开通3306外链，应该是安全的

---

欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)

Powered by Discuz! 7.2