日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

由于客戶端在連接MySQL時SSL選項使用不當，將可能引起中間人攻擊。該漏洞將導(dǎo)致數(shù)據(jù)庫通信數(shù)據(jù)以明文形式在網(wǎng)絡(luò)上傳輸。

專注于為中小企業(yè)提供網(wǎng)站設(shè)計制作、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機端+微信端的三站合一,更高效的管理,為中小企業(yè)寧晉免費做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了1000多家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴充和轉(zhuǎn)變。

漏洞詳情

這個漏洞與客戶端的”–ssl”選項有著很大關(guān)系，這個選項在受影響的版本中處于”建議使用”的級別。因此，當客戶端嘗試和服務(wù)器端進行初始化SSL/TLS連接時，將不會要求使用這一選項。這就幫助MITM攻擊者輕易地去除了SSL/TLS保護。

這個問題同樣影響到了SSL客戶端的其它SSL選項上(比如’—ssl-xxx’)。Oracle MySQL的技術(shù)產(chǎn)品主管也在blog中對“–ssl”問題進行了具體的說明。

即使服務(wù)器選擇了”REQUIRE SSL”選項，MitM攻擊者仍可以代理的角色出現(xiàn)在客戶和服務(wù)器之間。這就使得他可以對客戶和代理之間的連接進行降級，從而使其間的MySQL流量處于未加密狀態(tài)，盡管代理和服務(wù)器端之間的流量處于加密狀態(tài)。

目前該漏洞已被標定為 CVE-2015-3152 (針對MariaDB 和Percona)，另外有人指出這一漏洞和數(shù)年前ssltrip攻擊有很多相似之處。

影響范圍

MySQL 5.7.3以前的版本，C開發(fā)環(huán)境下的客戶端庫

Connector/C(libmysqlclient)、MariaDB 和 Percona服務(wù)器。

安全建議

升級MySQL到5.7.4以后的版本，對應(yīng)相關(guān)的庫及時的打補丁，使用“REQUIRE X509”選項，使用SSH隧道等。

新聞名稱：MySQLSSL/TLS連接存在安全漏洞可遭中間人攻擊
轉(zhuǎn)載來源：http://www.dlmjj.cn/article/dhgccdc.html