Latest posts for the topic "(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122"

(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122

K4i — GMT

Vào hôm thứ bảy (ngày 9/06) Sergei Golubchik đã gửi một thông báo về lỗi bảo mật cực kì nghiêm trọng mới được phát hiện của MySQL / MariaDB lên mailling-list OSS. Lỗi bảo mật này (với định danh CVE-2012-2122) cho phép kẻ tấn công có thể đăng nhập vào hệ quản trị cơ sở dữ liệu MySQL/MariaDB với một tài khoản bất kỳ tồn tại trên hệ thống mà không cần biết mật khẩu cuả user đó. Tuy nhiên, rất may mắn là lỗi này chỉ xuất hiện trên một số nền tảng nhất định với xác suất vào khoảng 1/256. Trong đó, các phiên bản MySQL/MariaDB được phân phối theo các Linux distro sau đã được xác nhận có lỗi này: Ubuntu Linux 64-bit ( 10.04, 10.10, 11.04, 11.10, 12.04 ) ( via many including @michealc ) OpenSuSE 12.1 64-bit MySQL 5.5.23-log ( via @michealc ) Fedora 16 64-bit ( via hexed ) Arch Linux (unspecified version) Cũng theo Sergei, phiên bản binary chính thức được phân phối trên trang chủ của MySQL/MariaDB không bị ảnh hưởng bởi lỗi này. Tính đến thời điểm hiện tại, lỗi trên đã được khắc phục trong mã nguồn của MySQL và sẽ sớm có các bản vá cho từng distro. Đề nghị từ phía HVA 1- Hãy kiểm tra lại MySQL/MariaDB của mình đang chạy. Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet. Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper) 2- Kiểm tra lại các bản vá bảo mật mới nhất của distro mà mình đang sử dụng. Hãy vá nhanh nhất ngay khi có thể. Lời cuối: Đây là một lỗi bảo mật được HD Moore mô tả là "Bi kịch" và cực kì "Hài hước". Bản thân tôi khi nhìn xong PoC cũng đã phải phì cười. Còn bạn, nếu muốn hãy thử (và tự chịu trách nhiệm về hành vi của mình) Code:

$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null; done

K4i - HVA News Biên tập: nlfb

(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122

tranhuuphuoc — GMT

Không nên: - Không nên cho phép khởi tạo, truy xuất đến MySQL từ môi trường internet. Nếu "bí quá" thì mở ra 1 chút sau đó đóng lại. :D - Quyền hạn trong DB nên cần thiết lập lại cho đúng, đủ , không nên theo kiểu grant all. Phiên bản bị ảnh hưỡng 5.5.23 (TESTED on Fedora 17)

(HVA News) Lỗi bảo mật nghiêm trọng của MySQL - CVE-2012-2122

quanta — GMT

K4i wrote:

Hãy đảm bảo là service của MySQL/MariaDB không được "phơi mặt" ra ngoài Internet.

Nếu database server có cả LAN và WAN IP, đừng quên đưa dòng sau vào `my.cnf`: Code:

bind-address=lan.ip

K4i wrote:

Hoặc chỉ cho phép các IP đáng tin cậy được truy cập vào hệ thống (nhanh nhất là sử dụng iptables hoặc tcpwrapper)

- Với root, luôn luôn chỉ cho phép login từ localhost - Với các users khác, đừng bao giờ tạo user theo kiểu: Code:

mysql> CREATE USER 'bob'@'%' IDENTIFIED BY 'your_pass';

mà nên dùng: Code:

mysql> CREATE USER 'bob'@'ip' IDENTIFIED BY 'your_pass';

trong đó, "ip" là địa chỉ IP bạn cho phép login từ đó. Thường chỉ bao gồm: IP của web server, application server, VPN là đủ. - Khi grant quyền, cũng không nên dùng `GRANT ALL PRIVILEGES ON *.*`, thay vào đó chỉ nên grant đủ quyền trên đúng database mà họ cần thao tác. Trong trường hợp ai đó cần `GRANT ALL` thì cũng nên `REVOKE SUPER` privilege. PS: Confirmed. Ubuntu 11.10 64-bit, MySQL 5.1.62 dính chưởng. Trên CentOS, các bản MySQL cài từ official repo hoặc Remi, EPEL, Atomic, ... repo không thấy bị.