MySQLSSL/TLS连接存在安全漏洞可遭中间人攻击

由于客户端在连接MySQL时SSL选项使用不当，将可能引起中间人攻击。该漏洞将导致数据库通信数据以明文形式在网络上传输。

专注于为中小企业提供网站设计制作、成都网站建设服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业宁晋免费做网站提供优质的服务。我们立足成都，凝聚了一批互联网行业人才，有力地推动了1000多家企业的稳健成长，帮助中小企业通过网站建设实现规模扩充和转变。

漏洞详情

这个漏洞与客户端的”–ssl”选项有着很大关系，这个选项在受影响的版本中处于”建议使用”的级别。因此，当客户端尝试和服务器端进行初始化SSL/TLS连接时，将不会要求使用这一选项。这就帮助MITM攻击者轻易地去除了SSL/TLS保护。

这个问题同样影响到了SSL客户端的其它SSL选项上(比如’—ssl-xxx’)。Oracle MySQL的技术产品主管也在blog中对“–ssl”问题进行了具体的说明。

即使服务器选择了”REQUIRE SSL”选项，MitM攻击者仍可以代理的角色出现在客户和服务器之间。这就使得他可以对客户和代理之间的连接进行降级，从而使其间的MySQL流量处于未加密状态，尽管代理和服务器端之间的流量处于加密状态。

目前该漏洞已被标定为 CVE-2015-3152 (针对MariaDB 和Percona)，另外有人指出这一漏洞和数年前ssltrip攻击有很多相似之处。

影响范围

MySQL 5.7.3以前的版本，C开发环境下的客户端库

Connector/C(libmysqlclient)、MariaDB 和 Percona服务器。

安全建议

升级MySQL到5.7.4以后的版本，对应相关的库及时的打补丁，使用“REQUIRE X509”选项，使用SSH隧道等。

分享文章：MySQLSSL/TLS连接存在安全漏洞可遭中间人攻击
标题URL：http://www.mswzjz.cn/qtweb/news34/261534.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能