微慑信息网

Perl 开发人员修复 DBD-MySQL 关键漏洞

安全研究人员 Pali Rohár 近期发现 DBD-MySQL 配置中存在关键漏洞(CVE-2017-10789),影响客户端与服务器之间加密,允许黑客发动中间人攻击。

调查显示,DBD-MySQL 模块 Perl 4.043 版本使用 mysql_ssl = 1 的设置表示 SSL 为可选项(即使此设置的文档提供 “与服务器间通信将被加密 ” 的声明),允许中间人攻击者通过明文降级攻击规避服务器检测。

安全专家表示:“启用加密操作依赖于 MySQL 服务器声明/支持事项。即使通过连接参数 mysql_ssl_ca_file 指定证书时,DBD-MySQL 也不强制 SSL/TSL 加密。因此,在 DBD-MySQL 中使用 SSL/TLS 加密极其危险。”目前,Perl 5 数据库接口维护人员不仅为 DBD-MySQL 漏洞提供了修复补丁,还在 GitHub 帐户中证实了该隐患致使系统极易遭受 BACKRONYM 与 Riddle 攻击。

Riddle 漏洞曝光于 2015 年备受欢迎的 DBMS Oracle MySQL,允许攻击者利用中间人攻击窃取用户名与密码。尽管针对版本 5.5.49 与 5.6.30 发布的安全更新未能完全修复该漏洞,5.7 以上版本以及 MariaDB 系统均不受影响。

原作者:Pierluigi Paganini,译者:青楚,译审:游弋

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Perl 开发人员修复 DBD-MySQL 关键漏洞

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册