安全研究

漏洞描述

美國時間2017年12月16日，Oracle官方發布安全公告。該次公告修複MySQL服務25個安全漏洞，在這些安全漏洞中，影(yǐng)響較大的CVE-2018-2696漏洞，它可(kě)以在無需認證的條件(jiàn)下，被遠(yuǎn)程利用發動拒絕服務攻擊。本次安全公告披露的安全漏洞數量較多，建議(yì)用戶關注。根據Oracle官方公告介紹，本次公告修複MySQL的多個遠(yuǎn)程安全漏洞，其中CVE-2018-2562及CVE-2018-2591較爲嚴重，可(kě)以直接被遠(yuǎn)程利用發動攻擊。攻擊者可(kě)以利用漏洞獲取數據、篡改數據或導緻拒絕服務，從而影(yǐng)響MySQL服務。

漏洞編号

CVE-2018-2562至2591

漏洞評級

高危

影(yǐng)響範圍

MySQL 5.6.x <= 5.6.38

MySQL 5.7.x <= 5.7.20

具體受影(yǐng)響範圍參見(jiàn)安全公告詳情。

修複建議(yì)

Oracle官方已經最新版本，建議(yì)自建MySQL服務的用戶及時手工下載更新：

MySQL 5.6.39 版本

MySQL 5.7.21 版本

建議(yì)您在版本升級前使用ECS快(kuài)照(zhào)功能做好數據備份工作，避免升級過程中發生(shēng)意外。

對自建MySQL服務進行安全加固，如(rú)配置安全組策略，禁止3306直接通過外網訪問，防止被黑(hēi)客遠(yuǎn)程利用等。