mysql 0day 攻擊 - 密碼嘗試300次以上可以成功登入

标签: Database | 发表时间:2012-06-13 09:21 | 作者:cross
出处:http://ssorc.tw/
根據  SNORT VRT 說  :

mysql 有一個 0day 的弱點, SNORT VRT 在  OSS-SEC 上看到的

這個弱點是,嘗試登入試了 300 次以上,不管密碼對不對,都可以成功登入 mysql 裡

  OSS-SEC  說 : 影響的版本有
All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable. 中了
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not. 沒中
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not. 沒中

SNORT VRT 中的說明 ( Joshua Drake (jduck) has even provided a simple application to check whether your systems are vulnerable.
) 提供了檢查辦法

下載檔案 CVE-2012-2122-checker.zip (523 Byte , 下載:1次)

把 CVE-2012-2122 checker 程式編譯一下

gcc -o CVE-2012-2122-checker CVE-2012-2122-checker.c

執行

./CVE-2012-2122-checker
Vulnerable! memcmp returned: 196

只要數值 不在 -128 到 127 之間的話,就表示中標了,該 update MYSQL

以上




相关 [mysql 0day 成功] 推荐:

mysql 0day 攻擊 - 密碼嘗試300次以上可以成功登入

- - SSORC.tw
根據  SNORT VRT 說  :. mysql 有一個 0day 的弱點, SNORT VRT 在  OSS-SEC 上看到的. 這個弱點是,嘗試登入試了 300 次以上,不管密碼對不對,都可以成功登入 mysql 裡.   OSS-SEC  說 : 影響的版本有. SNORT VRT 中的說明 ( Joshua Drake (jduck) has even provided a simple application to check whether your systems are vulnerable.

Linux Ksplice,MySQL and Oracle

- Syn - DBA Notes
Oracle 在 7 月份收购了 Ksplice. 使用了 Ksplice 的 Linux 系统,为 Kernel 打补丁无需重启动,做系统维护的朋友应该明白这是一个杀手级特性. 现在该产品已经合并到 Oracle Linux 中. 目前已经有超过 700 家客户,超过 10 万套系统使用了 Ksplice (不知道国内是否已经有用户了.

MySQL Replication 线程

- - CSDN博客推荐文章
Replication 线程. Mysql 的Replication 是一个异步的复制过程,从一个Mysql instace(我们称之为Master)复制到另一个Mysql instance(我们称之Slave). 在Master 与Slave 之间的实现整个复制过程主. 要由三个线程来完成,其中两个线程(Sql 线程和IO 线程)在Slave 端,另外一个线程(IO 线程)在Master 端.

mysql backup 脚本

- - ITeye博客
网上备份脚本很多,但考虑都不周全. 保证创建备份文件只能是创建者跟root可以访问,其他用户没有权限,保证了数据库备份的安全. 上面脚本是负责备份的份数管理,. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

Oracle MySQL Or NoSQL续

- - Sky.Jian 朝阳的天空
接前面一篇,这里再将之前在“中国系统架构师大会”5周年的时候发布的纪念册“IT架构实录”上的一篇文章发出来,也算是前面博文中PPT的一个文字版解读吧. Oracle,MySQL 还是 NoSQL. 随着阿里系的“去IOE”运动在社区的宣传声越来越大,国内正在掀起一股“去xxx”的技术潮. 不仅仅是互联网企业,包括运营商以及金融机构都已经开始加入到这个潮流之中.

mysql优化

- - 数据库 - ITeye博客
公司网站访问量越来越大,MySQL自然成为瓶颈,因此最近我一直在研究 MySQL  的优化,第一步自然想到的是 MySQL 系统参数的优化,作为一个访问量很大的网站(日20万人次以上)的数据库系统,不可能指望 MySQL  默认的系统参数能够让 MySQL运行得非常顺畅. 在Apache, PHP,  MySQL的体系架构中,MySQL对于性能的影响最大,也是关键的核心部分.

MySql动态SQL

- - SQL - 编程语言 - ITeye博客
13.7. 用于预处理语句的SQL语法. MySQL 5.1对服务器一方的预制语句提供支持. 如果您使用合适的客户端编程界面,则这种支持可以发挥在MySQL 4.1中实施的高效客户端/服务器二进制协议的优势. 候选界面包括MySQL C API客户端库(用于C程序)、MySQL Connector/J(用于Java程序)和MySQL Connector/NET.

MySQL 性能

- - 谁主沉浮
这里罗列了一些基本的 MySQL 性能提示,但不是放之四海而皆准,需要根据实际的应用情况而决定. 使用标准化设计(数据库三范式),记住表的联合查询(join)性能不会差. 选择合适的字符集,虽然UTF16无所不能,但需要两倍的存储;UTF8适合各种字符,但比latin1慢,尽可能选用latin1(此条不适合中文).

mysql explain 解析

- - SQL - 编程语言 - ITeye博客
Mysql Explain 详解. 例如: explain select * from t3 where id=3952602;. 二.explain输出解释. | id | select_type | table | type  | possible_keys     | key     | key_len | ref   | rows | Extra |.

mysql profile使用

- - 数据库 - ITeye博客
mysql的sql语句优化都使用explain,但是这个没有办法知道详细的Memory/CPU等使用量. MySQL Query Profiler, 可以查询到此 SQL 语句会执行多少, 并看出 CPU/Memory 使用. 量, 执行过程 System lock, Table lock 花多少时间等等.