欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 2379|回复: 0

[安全通知] 关于Oracle MySQL 10月安全更新通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33880
威望
13973
发表于 2017-10-24 11:53:56 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Oracle官方发布了25个 MySQL 的安全更新,其中6个漏洞无需用户认证即可远程利用,存在较高风险,攻击者成功利用该漏洞可导致您的MySQL服务敏感数据泄露,服务不可用
       为避免您的数据库业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
CVE编号
受影响组件
组件名称
协议
是否需要用户认证才能远程利用
CVSS
风险评分
受影响版本
CVE-2017-10155
MySQL Server
Server: Pluggable Auth
MySQL Protocol
不需要
7.5
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-3731
MySQL Server
Server: Security: Encryption (OpenSSL)
MySQL Protocol
不需要
7.5
5.6.35 and earlier, 5.7.18 and earlier
CVE-2017-10379
MySQL Server
Client programs
MySQL Protocol
需要
6.5
5.5.57 and earlier, 5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10384
MySQL Server
Server: DDL
MySQL Protocol
需要
6.5
5.5.57 and earlier 5.6.37 and earlier 5.7.19 and earlier
CVE-2017-10276
MySQL Server
Server: FTS
MySQL Protocol
需要
6.5
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10167
MySQL Server
Server: Optimizer
MySQL Protocol
需要
6.5
5.7.19 and earlier
CVE-2017-10378
MySQL Server
Server: Optimizer
MySQL Protocol
需要
6.5
5.5.57 and earlier, 5.6.37 and earlier, 5.7.11 and earlier
CVE-2017-10277
MySQL Connectors
Connector/Net
MySQL Protocol
不需要
5.4
6.9.9 and earlier
CVE-2017-10203
MySQL Connectors
Connector/Net
MySQL Protocol
不需要
5.3
6.9.9 and earlier
CVE-2017-10283
MySQL Server
Server: Performance Schema
MySQL Protocol
需要
5.3
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10313
MySQL Server
Group Replication GCS
MySQL Protocol
需要
4.9
5.7.19 and earlier
CVE-2017-10296
MySQL Server
Server: DML
MySQL Protocol
需要
4.9
5.7.18 and earlier
CVE-2017-10311
MySQL Server
Server: FTS
MySQL Protocol
需要
4.9
5.7.19 and earlier
CVE-2017-10320
MySQL Server
Server: InnoDB
MySQL Protocol
需要
4.9
5.7.19 and earlier
CVE-2017-10314
MySQL Server
Server: Memcached
MySQL Protocol
需要
4.9
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10227
MySQL Server
Server: Optimizer
MySQL Protocol
需要
4.9
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10279
MySQL Server
Server: Optimizer
MySQL Protocol
需要
4.9
5.6.36 and earlier, 5.7.18 and earlier
CVE-2017-10294
MySQL Server
Server: Optimizer
MySQL Protocol
需要
4.9
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10165
MySQL Server
Server: Replication
MySQL Protocol
需要
4.9
5.7.19 and earlier
CVE-2017-10284
MySQL Server
Server: Stored Procedure
MySQL Protocol
需要
4.9
5.7.18 and earlier
CVE-2017-10286
MySQL Server
Server: InnoDB
MySQL Protocol
需要
4.4
5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10268
MySQL Server
Server: Replication
MySQL Protocol
需要
4.1
5.5.57 and earlier, 5.6.37 and earlier, 5.7.19 and earlier
CVE-2017-10365
MySQL Server
Server: InnoDB
MySQL Protocol
需要
3.8
5.7.18 and earlier

详情请参考:http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixMSQL

【风险等级】
   高风险

【漏洞风险】
   获取用户敏感数据数据,导致数据库崩溃,服务不可用;

【影响版本】
   参考上述漏洞详情

【安全版本】
  1)若您的数据库服务采用CentOS 5/6/7 系统自带的RPM安装包进行部署安装,则您的数据库默认不受影响;
  • CentOS 7 mariadb 不受影响
  • CentOS 6 mysql 不受影响
  • CentOS 5 mysql55-mysql 不受影响

  2)若您的MySQL服务采用Ubuntu系统自带的deb包进行部署安装或者以apt-get方式进行安装,MySQL服务受影响,当前Ubuntu官方已经发布修复版本,详细版本如下:
  • Ubuntu 16.04 LTS: 升级到 mysql-server-5.7 5.7.20-0ubuntu0.16.04.1
  • Ubuntu 14.04 LTS: 升级到 mysql-server-5.5 5.5.58-0ubuntu0.14.04.1

  3)若您的MySQL服务采用源码方式安装且在受影响版本范围,建议您更新到5.6.37、5.7.19之后的版本

【修复建议】
  1)目前Ubuntu、MySQL官方已经发布了修复补丁,建议您参照上述【安全版本】升级到对应的最新版本即可;
  2)CentOS发行版的默认MySQL RPM安装包版本暂不受该漏洞影响,官方暂未发布补丁更新,腾讯云安全会保持关注,有更新会第一时间进行同步;
   温馨提醒:腾讯云官方提供的云数据库产品(CDB)默认不受该漏洞影响,请您放心使用!

【漏洞参考】
  1)http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixMSQL
  2)https://access.redhat.com/security/cve/cve-2017-10155
  3)https://usn.ubuntu.com/usn/usn-3459-1/

2017/10/24
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-10-24 11:59 , Processed in 1.180809 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部