漏洞摘要
Oracle官方2023年4月更新了多个重要安全补丁,其中包括BeichenDream大佬提交的MySQL Server拒绝服务漏洞(CVE-2023-21912),该漏洞易受攻击者通过多种协议进行网络访问而利用,导致MySQL Server被攻击者未经身份验证的入侵。成功利用此漏洞可能导致未经授权的操作,导致MySQL Server出现挂起或频繁重复崩溃(即完全DOS)。
01 漏洞详情
由于MySQL Server处理认证数据包的缺陷,成功利用此漏洞者可对MySQL Server造成拒绝服务攻击。
02 影响范围
MySQL Server版本:
-
5.0.0 – 5.7.41 -
8.0.0 – 8.0.30
(MySQL Server 5.7和8.0是两个相对独立的版本,它们都处于维护期内,并会获得常规的更新和安全补丁)
03 修复方案
官方已发布新版本,建议升级到最新版本。
https://dev.mysql.com/downloads/mysql/
目前8.0最新版本为8.0.33。
https://dev.mysql.com/downloads/mysql/5.7.html
目前5.7最新版本为5.7.42。
04 缓解方案
MySQL Server若是开启了远程连接,不要设置可连接的ip为’%’。
-- 查看所有用户的权限
-- 留意是否存在可连接的ip为'%'
SELECT user, host, Grant_priv, Super_priv FROM mysql.user;
设置MySQL Server远程连接的白名单ip:
-- 赋予某个ip下某个用户 所有权限
-- *.* 代表全部库名.全部表名
grant all privileges on *.* to 'USERNAME'@'IP' identified by 'PASSWORD' with grant option;
-- 赋予某个ip下某个用户 部分权限
grant select,create,drop,update,alter on *.* to 'USERNAME'@'IP' identified by 'PASSWORD' with grant option;
-- 刷新权限
flush privileges;
如果赋值白名单后,不是白名单的ip连接会提示
Host 'xx.xx.xx.xx' is not allowed to connect to this MySQL server
删除mysql.user表中的记录(操作请谨慎)
DELETE FROM mysql.user WHERE User='root' AND Host='%';
flush privileges;
05 参考链接
-
https://www.oracle.com/security-alerts/cpuapr2023.html -
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21912 -
https://nvd.nist.gov/vuln/detail/CVE-2023-21912
招新小广告
ChaMd5 Venom 招收大佬入圈
新成立组IOT+工控+样本分析 长期招新
原文始发于微信公众号(ChaMd5安全团队):CVE-2023-21912漏洞预警与修复缓解方案
