全部产品
云市场
云游戏

【漏洞公告】CVE-2018-2562-2591:MySQL多个安全漏洞

更新时间:2018-03-08 16:11:01

美国时间2017年12月16日,Oracle官方发布安全公告。该次公告修复MySQL服务25个安全漏洞,在这些安全漏洞中,影响较大的CVE-2018-2696漏洞,它可以在无需认证的条件下,被远程利用发动拒绝服务攻击。本次安全公告披露的安全漏洞数量较多,建议用户关注。

漏洞详情见下文。


漏洞编号

CVE-2018-2562至2591

漏洞名称

MySQL多个安全漏洞

官方评级

高危

漏洞描述

根据Oracle官方公告介绍,本次公告修复MySQL的多个远程安全漏洞,其中CVE-2018-2562及CVE-2018-2591较为严重,可以直接被远程利用发动攻击。攻击者可以利用漏洞获取数据、篡改数据或导致拒绝服务,从而影响MySQL服务。

漏洞利用条件和方式

通过PoC直接远程利用。

PoC状态

未公开

漏洞影响范围

MySQL 5.6.x <= 5.6.38

MySQL 5.7.x <= 5.7.20

具体受影响范围参见安全公告详情。

漏洞检测

开发人员应检查是否使用了受影响版本范围内的MySQL服务。

漏洞修复建议(或缓解措施)

  • Oracle官方已经最新版本,建议自建MySQL服务的用户及时手工下载更新:

    注意:建议您在版本升级前使用ECS快照功能做好数据备份工作,避免升级过程中发生意外。

  • 对自建MySQL服务进行安全加固,如配置安全组策略,禁止3306直接通过外网访问,防止被黑客远程利用等。

情报来源