北京北大青鳥(niǎo)校區(qū)提供:
國(guó)外安全專家現(xiàn)在已經(jīng)確認(rèn),在MySQL和MariaDB系統(tǒng)中存有嚴(yán)重的服務(wù)器漏洞,黑客可輕易繞過(guò)密碼進(jìn)入系統(tǒng),密碼幾乎成擺設(shè)。
北京北大青鳥(niǎo)校區(qū)老師表示,每256個(gè)暴力破解服務(wù)器身份驗(yàn)證控制時(shí)中,就有1個(gè)接受任意密碼組合。該漏洞代碼為CVE-2012-2122,曾經(jīng)在五月發(fā)布的MySQL 5.1.63和5.5.25版本中就修復(fù)了該漏洞,但是很多服務(wù)器管理員或許尚未意識(shí)到這個(gè)漏洞可能帶來(lái)的影響。
在對(duì)170萬(wàn)臺(tái)公開(kāi)MySQL服務(wù)器進(jìn)行掃描發(fā)現(xiàn),有超過(guò)一半的服務(wù)器(879046臺(tái))遭受此漏洞影響。
以下代碼可被用來(lái)獲取用戶名root下的訪問(wèn)權(quán)限:
\$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null;
done
end(北京北大青鳥(niǎo)校區(qū))
