MySQL COM_CHANGE_USER口令认证缺陷漏洞

好le丶仅此而已

好le丶仅此而已

2016-02-19 14:06

下面是个MySQL COM_CHANGE_USER口令认证缺陷漏洞教程,撑握了其技术要点,学起来就简单多了。赶紧跟着图老师小编一起来看看吧!

发布时间:2003-01-05
更新时间:2003-01-05
严重程度:高
威胁程度:控制应用程序系统
错误类型:设计错误
利用方式:服务器模式

BUGTRAQ ID:6373
CVE(CAN) ID:CAN-2002-1374

受影响系统

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

MySQL AB MySQL 3.22.26
MySQL AB MySQL 3.22.27
MySQL AB MySQL 3.22.28
MySQL AB MySQL 3.22.29
MySQL AB MySQL 3.22.30
MySQL AB MySQL 3.22.32
MySQL AB MySQL 3.23.2
MySQL AB MySQL 3.23.3
MySQL AB MySQL 3.23.4
MySQL AB MySQL 3.23.5
MySQL AB MySQL 3.23.8
MySQL AB MySQL 3.23.9
MySQL AB MySQL 3.23.10
MySQL AB MySQL 3.23.23
MySQL AB MySQL 3.23.24
MySQL AB MySQL 3.23.25
MySQL AB MySQL 3.23.26
MySQL AB MySQL 3.23.27
MySQL AB MySQL 3.23.28
MySQL AB MySQL 3.23.29
MySQL AB MySQL 3.23.30
MySQL AB MySQL 3.23.31
MySQL AB MySQL 3.23.34
MySQL AB MySQL 3.23.36
MySQL AB MySQL 3.23.37
MySQL AB MySQL 3.23.38
MySQL AB MySQL 3.23.39
MySQL AB MySQL 3.23.40
MySQL AB MySQL 3.23.41
MySQL AB MySQL 3.23.42
MySQL AB MySQL 3.23.43
MySQL AB MySQL 3.23.44
MySQL AB MySQL 3.23.45
MySQL AB MySQL 3.23.46
MySQL AB MySQL 3.23.47
MySQL AB MySQL 3.23.48
MySQL AB MySQL 3.23.49
MySQL AB MySQL 3.23.50
MySQL AB MySQL 3.23.51
MySQL AB MySQL 3.23.52
MySQL AB MySQL 3.23.53 a
MySQL AB MySQL 3.23.53
MySQL AB MySQL 4.0 .0
MySQL AB MySQL 4.0.1
MySQL AB MySQL 4.0.2
MySQL AB MySQL 4.0.3
MySQL AB MySQL 4.0.5 a

详细描述
MySQL 的口令认证机制存在漏洞,利用此漏洞一个经过认证的数据库用户可以劫持其他的数据库用户帐号。漏洞的原因在于当客户端发送COM_CHANGE_USER 命令后服务器使用客户端提交的一个串来比较进行口令认证。入侵者如果能猜到其他帐号口令的第一个字母就可能以那个帐号认证成功。口令的合法字符集是32个字符,也就是说恶意用户最多只要尝试32次就能攻击成功。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/bianchengyuyan/)

解决方案
厂商已经在最新版本的软件中解决了这个安全问题,请把服务器软件升级到3.23.54及其以后版本:

http://www.mysql.com

相关信息
Advisory 04/2002: Multiple MySQL vulnerabilities
http://archives.neohapsis.com/rchives/bugtraq/2002-12/0108.html

展开更多 50%)
分享

猜你喜欢

MySQL COM_CHANGE_USER口令认证缺陷漏洞

编程语言 网络编程
MySQL COM_CHANGE_USER口令认证缺陷漏洞

如何设置MYSQL的口令

编程语言 网络编程
如何设置MYSQL的口令

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

User Scripts: Video Download by User Scripts

Web开发
User Scripts: Video Download by User Scripts

ASP漏洞集-MS IIS server的ASP安全缺陷(MS,缺陷)

ASP
ASP漏洞集-MS IIS server的ASP安全缺陷(MS,缺陷)

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

如何恢复MYSQL的ROOT口令

MySQL mysql数据库
如何恢复MYSQL的ROOT口令

MySQL 忘记口令的解决办法

MySQL mysql数据库
MySQL 忘记口令的解决办法

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

PowerPoint2007中如何录制旁白

PowerPoint2007中如何录制旁白

软件接口的历史和未来

软件接口的历史和未来
下拉加载更多内容 ↓