数据库出现漏洞可获取用户ROOT权限
数据库是在科技界最流行的产品了,所有大型的科技巨头都是它们的主要客户,包括,雅虎、Facebook、谷歌、Netflix、推特、eBay等。
什么是数据库?
数据库(Database)是按照数据结构来组织、存储和管理数据的仓库,它产生于距今六十多年前,随着信息技术和市场的发展,特别是二十世纪九十年代以后,数据管理不再仅仅是存储和管理数据,而转变成用户所需要的各种数据管理的方式。数据库有很多种类型,从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用。
在信息化社会,充分有效地管理和利用各类信息资源,是进行科学研究和决策管理的前提条件。数据库技术是管理信息系统、办公自动化系统、决策支持系统等各类信息系统的核心部分,是进行科学研究和决策管理的重要技术手段。
最近正派黑客古轮斯基发现了这个漏洞并且报告给了各大厂商来修复在竞态条件漏洞的存在,具体存在MySQL、MariaDB和Percona中,可被联动使用掌控服务器。同时可以拥有本地的数据库检索功能、可以插入创建权限的用户,可利用此漏洞执行任意代码并将自身账户权限提升到系统用户。系统用户权限下,服务器上所有数据的数据库全部都可以掌握到手,同时结合其他补丁的漏洞获取rootshell。
漏洞使受影响数据库具备低权限的本地用户,提权为数据库系统用户,进行执行恶意代码的上帝模式,将使攻击者获取数据库服务器上数据库的访问权。该漏洞如果获取到的权限级别,与其他漏洞叠加,将mysql用户升至root用户,攻击者就开启了服务器的上帝模式了。这是很可拍的威胁。
所以IT管理员们尽早打上补丁,防止将来的新一波漏洞攻击。
不能立即打上补丁的IT管理员们,可关闭数据库服务器配置中的符号关联,在my.cnf中令symbolic-links=0,这样就可以了。
本文转自d1net(转载)
MySQL用户、权限及密码操作 其中,username为用户名;hostname为主机,localhost指本地用户,通配符%指可以从远程主机登陆用户,如果不指定host,则默认为%;password为密码,可以为空。
相关文章
- CVE-2010-2883:基于样本分析 PDF SING表字符溢出漏洞
- 2015年数据库漏洞威胁报告(下载)
- Web安全漏洞介绍及防御-文件上传漏洞
- CVE -2022-26134漏洞复现(Confluence OGNL 注入rce漏洞)
- web渗透测试----5、暴力破解漏洞--(4)Telnet密码破解
- GitLab远程代码执行漏洞通告
- 2021-01 补丁日:Oracle多个产品漏洞安全风险通告
- 【严重】宝塔面板数据库管理未授权访问漏洞通告
- Linux Kernel openvswitch模块权限提升漏洞(CVE-2022-2639)
- 网络安全——漏洞扫描工具(AWVS的使用)
- 白帽黑客发现上帝模式共享服务器数据库漏洞
- 免费SSL工具有漏洞 黑客可获取任何域名的SSL证书
- Flash又曝出严重漏洞:允许攻击者控制Mac
- [PoC]某B2B网站的一个反射型XSS漏洞
- Android 漏洞分析入门 (一)