漏洞级别: 高危
参考:OWASP:不适用 WASC:不适用 CVE:CVE-2012-2122 CWE:不适用
该版本Mysql允许攻击者穷举256次用户密码,便能成功登录Mysql服务器。
描述:影响版本:MySQL版本低于 5.0.96 、5.1.63 、5.5.25。
当连接MySQL时,输入的密码会与期望的正确密码相比较,即使memcmp()返回一个非零值,也会使MySQL认为两个密码是相同。也就是说,只要知道用户名,不断尝试就能直接登入数据库,穷举256次就能猜对一次,目前网络上关于此漏洞的利用工具已流出。
Linux/Unix解决方案:(1)使用防火墙禁止访问Mysql端口。(2)如果原来MySQL是5.0.x,需要升级到 5.0.96 版本。如果原来MySQL是5.1.x,需要升级到 5.1.63 版本。如果原来MySQL是5.5.x,需要升级到 5.5.25 版本。
Windows解决方案:(1)使用防火墙禁止访问Mysql端口。(2)如果原来MySQL是5.0.x,需要升级到 5.0.96 版本。如果原来MySQL是5.1.x,需要升级到 5.1.63 版本。如果原来MySQL是5.5.x,需要升级到 5.5.25 版本。
暂无相关信息