当前位置 安全公告

【漏洞公告】MySQL多个安全漏洞(CVE-2018-2562-2591)

发布时间:2018年01月22日 来源:王子强

漏洞编号: 
CVE-2018-2562-2591 
漏洞名称: 
MySQL多个安全漏洞 
官方评级: 
高危 
漏洞描述: 
根据Oracle官方公告介绍,本次MySQL存在多个远程安全漏洞,其中CVE编号CVE-2018-2562及CVE-2018-2591较为严重,可以直接远程利用攻击,攻击者可以利用漏洞攻击成功获取数据或导致拒绝服务,从而影响MySQL服务。 
漏洞利用条件和方式: 
通过PoC直接远程利用。 
PoC状态: 
未公开 
漏洞影响范围: 
MySQL  <= 5.6.38 
MySQL  <= 5.7.20 
具体受影响范围参见安全公告详情。 
不受影响版本: 
MySQL 5.6.39 
MySQL 5.7.21 
漏洞检测: 
开发人员检查是否使用了受影响版本范围内的MySQL服务。 
漏洞修复建议(或缓解措施): 
1.目前Oracle官方已经最新版本,建议建MySQL服务用户及时手工下载更新: 
 
提示:建议您在版本升级前做好测试工作。 
2.对自建MySQL服务进行安全加固 ,配置安全组策略,禁止3306可以直接通过外网访问,防止被黑客远程利用。 
情报来源: 
  • http://www.oracle.com/technetwork/security-advisory/cpujan2018verbose-3236630.html#MSQL
  • http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
  • https://securitytracker.com/id/1040216