iT邦幫忙

0

mysql被掃出有資安漏洞

各位神人大大 我用mysql被掃出有個資安漏洞
內容是有關udf的方面
A code execution vulnerability is present in some versions of Oracle MySQL. The flaw lies in the user defined function (UDF). Successful exploitation could allow an attacker to execute arbitrary code.

請問這該安裝哪個更新檔來補這個漏洞呢
http://www.cvedetails.com/vulnerability-list/vendor\_id-185/product\_id-316/version\_id-95087/Mysql-Mysql-5.1.47.html

1 個回答

12
wiseguy
iT邦超人 1 級 ‧ 2014-02-19 18:26:04
最佳解答

我覺得你的問題不是出在安裝很舊版本的 MySQL 耶!你的問題是出在:怎麼能讓外面的安全檢查軟體掃出你的 Server 有安裝 MySQL呀!
這種問題的當務之急,不是趕快找更新檔,而是趕快調整 MySQL 的存取權。看是直接把 3306 port 擋掉,不准外網存取,還是限定特定 IP 可以存取。
接下來才是看你要不要解決舊版本 MySQL 的問題。如果這是搭配很舊的 AP 在跑,那還是別亂動的好。如果這是新裝沒多久的系統,那就請重新安裝 MySQL 最新版吧!
另外,MySQL 舊版本若有漏洞,還是直接升級版本。因為 MySQL 通常很少單獨出修正檔。怎麼升級 MySQL,請參考我這幾篇:
http://ithelp.ithome.com.tw/question/10096280
http://ithelp.ithome.com.tw/question/10092893

wiseguy iT邦超人 1 級 ‧ 2014-02-20 11:14:36 檢舉

既然你的 DB 與 AP 都在同一台,那就不必透過 3306 port 了,用 socket 就行了,關掉 3306 port 吧!這完全不影響 user 的操作,而且 socket 更快。

我要發表回答

立即登入回答