北京時間6月12日下午消息,國外安全專家現(xiàn)在已經(jīng)確認,在MySQL和MariaDB系統(tǒng)中存有嚴重的服務器漏洞,黑客可輕易繞過密碼進入系統(tǒng),密碼幾乎成擺設。
根據(jù)Rapid7安全專家HD Moore表示,每256個暴力破解服務器身份驗證控制時中,就有1個接受任意密碼組合。該漏洞代碼為CVE-2012-2122,曾經(jīng)在五月發(fā)布的MySQL 5.1.63和5.5.25版本中就修復了該漏洞,但是很多服務器管理員或許尚未意識到這個漏洞可能帶來的影響。
在對170萬臺公開MySQL服務器進行掃描發(fā)現(xiàn),有超過一半的服務器(879046臺)遭受此漏洞影響。
以下代碼可被用來獲取用戶名root下的訪問權限:
$ for i in `seq 1 1000`; do mysql -u root password=bad -h 127.0.0.1 2>/dev/null;
done
end
京公網(wǎng)安備 11010502049343號