全部产品

【漏洞公告】CVE-2016-6662:MySQL 代码执行漏洞

更新时间:2017-11-17 16:16:50

漏洞描述

MySQL 中的 logging 功能设置不当,导致外部攻击者能以一个低权限的 MySQL 账号(拥有 SELECT 和 FILE 权限),通过修改 my.cnf 文件达到运行任意代码的目的。

攻击者可通过对外开放的 MySQL 服务、基于 Web 的 MySQL 管理应用,或者 SQL 注入漏洞实施攻击。由于大部分 MySQL 服务都是以系统 Root 账号运行,因此黑客一旦成功利用该漏洞,就可以控制整个服务器,带来严重危害。

受影响范围

  • MySQL 5.7 <= 5.7.15
  • MySQL 5.6 <= 5.6.33
  • MySQL 5.5 <= 5.5.52
  • MySQL 分支版本:MariaDB 和 PerconaDB

修复方案

  • 将 MySQL 所有账号的密码改为强密码,建议使用 10 位以上数字+字母+特殊符号的强密码。
  • 整理 MySQL 中存在 FILE 权限的账号,去掉不必要的 FILE 权限。
  • 从 MySQL 官方获取并安装更新补丁。