資料庫出現漏洞可獲取使用者ROOT許可權

2021-09-23 06:52:11 字數 1238 閱讀 1213

資料庫是在科技界最流行的產品了,所有大型的科技巨頭都是它們的主要客戶,包括,雅虎、facebook、谷歌、netflix、推特、ebay等。

什麼是資料庫?

資料庫(database)是按照資料結構來組織、儲存和管理資料的倉庫,它產生於距今六十多年前,隨著資訊科技和市場的發展,特別是二十世紀九十年代以後,資料管理不再僅僅是儲存和管理資料,而轉變成使用者所需要的各種資料管理的方式。資料庫有很多種型別,從最簡單的儲存有各種資料的**到能夠進行海量資料儲存的大型資料庫系統都在各個方面得到了廣泛的應用。

在資訊化社會,充分有效地管理和利用各類資訊資源,是進行科學研究和決策管理的前提條件。資料庫技術是管理資訊系統、辦公自動化系統、決策支援系統等各類資訊系統的核心部分,是進行科學研究和決策管理的重要技術手段。

最近正派黑客古輪斯基發現了這個漏洞並且報告給了各大廠商來修復在競態條件漏洞的存在,具體存在mysql、mariadb和percona中,可被聯動使用掌控伺服器。同時可以擁有本地的資料庫檢索功能、可以插入建立許可權的使用者,可利用此漏洞執行任意**並將自身賬戶許可權提公升到系統使用者。系統使用者許可權下,伺服器上所有資料的資料庫全部都可以掌握到手,同時結合其他補丁的漏洞獲取rootshell。

使用者在訪問資料庫時是非常危險的,利用這些漏洞可以獲得資料庫訪問許可權。也可利用這些漏洞來將許可權提公升至上帝模式。

漏洞使受影響資料庫具備低許可權的本地使用者,提權為資料庫系統使用者,進行執行惡意**的上帝模式,將使攻擊者獲取資料庫伺服器上資料庫的訪問權。該漏洞如果獲取到的許可權級別,與其他漏洞疊加,將mysql使用者公升至root使用者,攻擊者就開啟了伺服器的上帝模式了。這是很可拍的威脅。

科達物德·古輪斯基還描述了未打補丁的系統,獲取完整控制權的顯示過程。

所以it管理員們盡早打上補丁,防止將來的新一波漏洞攻擊。

不能立即打上補丁的it管理員們,可關閉資料庫伺服器配置中的符號關聯,在my.cnf中令symbolic-links=0,這樣就可以了。

資料庫出現漏洞可獲取使用者ROOT許可權

資料庫是在科技界最流行的產品了,所有大型的科技巨頭都是它們的主要客戶,包括,雅虎 facebook 谷歌 netflix 推特 ebay等。什麼是資料庫?資料庫 database 是按照資料結構來組織 儲存和管理資料的倉庫,它產生於距今六十多年前,隨著資訊科技和市場的發展,特別是二十世紀九十年代以後...

MySQL資料庫root使用者密碼忘記?

方法一 1 在dos視窗下輸入net stop mysql5或net stop mysql 2 開乙個dos視窗,這個需要切換到mysql的bin目錄。一般在bin目錄裡面建立乙個批處理1.bat,內容是cmd.exe執行一下即可就切換到當前目錄,然後輸入 mysqld nt skip grant ...

Mysql資料庫建立非Root使用者

針對於某個資料庫進行使用者的新增 不使用root進行登陸 方法入下 建立使用者和密碼 username 用於登陸資料庫的使用者名稱 password 用於登陸時輸入的密碼 create user username identified by password 給新建的使用者設定關於某個資料庫的許可權...