全部产品
云市场

【漏洞公告】CVE-2017-3305:MySQL中间人攻击Riddle漏洞

更新时间:2018-03-08 16:52:43

2017年4月15日,DBMS Oracle MySQL被披露存在Riddle漏洞,攻击者可以利用该漏洞和中间人身份窃取用户名和密码。

漏洞详情见下文。


漏洞编号

CVE-2017-3305

漏洞名称

Riddle中间人漏洞是一个在Oracle MySQL 5.5和5.6客户端数据库中发现的高危安全漏洞。该漏洞允许攻击者在中间人位置使用Riddle漏洞破坏MySQL客户端和服务器之间的SSL配置连接。

漏洞利用条件和方式

通过工具可以实现远程中间人攻击。

漏洞影响范围

  • 受影响版本:MySQL 5.5 and 5.6
  • 不受影响版本:5.7版本之后以及MariaDB

漏洞检测

查看MySQL版本是否在受影响版本内。

  1. mysql> select version();
  2. +-----------+
  3. | version() |
  4. +-----------+
  5. [color=#333333]| 5.1.69 | -[/color][color=#ff0000]--受影响[/color]
  6. +-----------+
  7. 1 row in set (0.12 sec)

漏洞修复建议(或缓解措施)

  • 更新到MySQL 5.7版本或者MariaDB。
  • 使用安全组公网入策略或MySQL授权功能限制3306远程登录源IP地址。

情报来源

http://securityaffairs.co/wordpress/58019/hacking/oracle-mysql-riddle-vulnerability.html