BUGTRAQ ID:6373
CVE(CAN) ID:CAN-2002-1374
受影響系統
MySQL AB MySQL 3.22.26
MySQL AB MySQL 3.22.27
MySQL AB MySQL 3.22.28
MySQL AB MySQL 3.22.29
MySQL AB MySQL 3.22.30
MySQL AB MySQL 3.22.32
MySQL AB MySQL 3.23.2
MySQL AB MySQL 3.23.3
MySQL AB MySQL 3.23.4
MySQL AB MySQL 3.23.5
MySQL AB MySQL 3.23.8
MySQL AB MySQL 3.23.9
MySQL AB MySQL 3.23.10
MySQL AB MySQL 3.23.23
MySQL AB MySQL 3.23.24
MySQL AB MySQL 3.23.25
MySQL AB MySQL 3.23.26
MySQL AB MySQL 3.23.27
MySQL AB MySQL 3.23.28
MySQL AB MySQL 3.23.29
MySQL AB MySQL 3.23.30
MySQL AB MySQL 3.23.31
MySQL AB MySQL 3.23.34
MySQL AB MySQL 3.23.36
MySQL AB MySQL 3.23.37
MySQL AB MySQL 3.23.38
MySQL AB MySQL 3.23.39
MySQL AB MySQL 3.23.40
MySQL AB MySQL 3.23.41
MySQL AB MySQL 3.23.42
MySQL AB MySQL 3.23.43
MySQL AB MySQL 3.23.44
MySQL AB MySQL 3.23.45
MySQL AB MySQL 3.23.46
MySQL AB MySQL 3.23.47
MySQL AB MySQL 3.23.48
MySQL AB MySQL 3.23.49
MySQL AB MySQL 3.23.50
MySQL AB MySQL 3.23.51
MySQL AB MySQL 3.23.52
MySQL AB MySQL 3.23.53 a
MySQL AB MySQL 3.23.53
MySQL AB MySQL 4.0 .0
MySQL AB MySQL 4.0.1
MySQL AB MySQL 4.0.2
MySQL AB MySQL 4.0.3
MySQL AB MySQL 4.0.5 a
詳細描述
MySQL 的口令認證機制存在漏洞,利用此漏洞一個經過認證的數據庫用戶可以劫持其他的數據庫用戶帳號。漏洞的原因在于當客戶端發送COM_CHANGE_USER 命令后服務器使用客戶端提交的一個串來比較進行口令認證。入侵者如果能猜到其他帳號口令的第一個字母就可能以那個帳號認證成功。口令的合法字符集是32個字符,也就是說惡意用戶最多只要嘗試32次就能攻擊成功。
解決方案
廠商已經在最新版本的軟件中解決了這個安全問題,請把服務器軟件升級到3.23.54及其以后版本:
http://www.mysql.com
相關信息
Advisory 04/2002: Multiple MySQL vulnerabilities
http://archives.neohapsis.com/rchives/bugtraq/2002-12/0108.html
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
Copyright ? 2019-2025 51dongshi.com 版權所有
違法及侵權請聯系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市萬商天勤律師事務所王興未律師提供法律服務
