Mysql身份认证漏洞(CVE-2012-2122)

漏洞级别:  高危高危

参考:OWASP:不适用    WASC:不适用    CVE:CVE-2012-2122    CWE:不适用

危害:

该版本Mysql允许攻击者穷举256次用户密码,便能成功登录Mysql服务器。

描述:

影响版本:MySQL版本低于 5.0.96 、5.1.63 、5.5.25。

当连接MySQL时,输入的密码会与期望的正确密码相比较,即使memcmp()返回一个非零值,也会使MySQL认为两个密码是相同。也就是说,只要知道用户名,不断尝试就能直接登入数据库,穷举256次就能猜对一次,目前网络上关于此漏洞的利用工具已流出。

解决方法:

Linux/Unix解决方案:(1)使用防火墙禁止访问Mysql端口。(2)如果原来MySQL是5.0.x,需要升级到 5.0.96 版本。如果原来MySQL是5.1.x,需要升级到 5.1.63 版本。如果原来MySQL是5.5.x,需要升级到 5.5.25 版本。
Windows解决方案:(1)使用防火墙禁止访问Mysql端口。(2)如果原来MySQL是5.0.x,需要升级到 5.0.96 版本。如果原来MySQL是5.1.x,需要升级到 5.1.63 版本。如果原来MySQL是5.5.x,需要升级到 5.5.25 版本。

备注:

暂无相关信息