一些世界上最大的公司(例如Facebook、谷歌和Adobe)以及很多規(guī)模較小的企業(yè)都在使用Oracle公司的MySQL數(shù)據(jù)庫服務(wù)器軟件。它的性能、可靠性和易用性使其成為在LAMP(Linux、Apache、MySQL、Perl/PHP/Python)平臺上構(gòu)建的數(shù)千Web應(yīng)用不可缺少的部分。鑒于其龐大的用戶群，最近發(fā)現(xiàn)的幾個MySQL零日漏洞利用引起IT安全團隊的高度關(guān)注，也激起了攻擊者對MySQL安全的興趣。

　　本文將討論MySQL安全狀況和這些MySQL零日漏洞威脅。我們還將為MySQL用戶提供一些可行的緩解措施，和可能的MySQL替代方案。

　　MySQL零日漏洞概述

　　為了確定最近MySQL零日漏洞的嚴(yán)重程度，我們首先必須深入分析每個漏洞。這些漏洞已經(jīng)被分配了以下公共漏洞和暴露(Common Vulnerabilities and Exposures CVE)ID：

　　CVE-2012-5611 MySQL基于堆棧的緩沖區(qū)溢出：這是通過發(fā)送超長參數(shù)到GRANT FILE命令來觸發(fā)的，該操作會導(dǎo)致堆棧緩沖區(qū)溢出。它將允許遠(yuǎn)程攻擊者執(zhí)行任意代碼，甚至可能導(dǎo)致數(shù)據(jù)庫崩潰。

　　CVE-2012-5612 MySQL基于堆的溢出：低權(quán)限經(jīng)驗證的遠(yuǎn)程攻擊者可以通過發(fā)送一系列特制的命令來導(dǎo)致堆緩沖區(qū)溢出。

　　CVE-2012-5613 MySQL數(shù)據(jù)庫權(quán)限提升：這并不被認(rèn)為是一個安全漏洞，而是MySQL錯誤配置的結(jié)果，它可能導(dǎo)致遠(yuǎn)程認(rèn)證用戶獲得管理員權(quán)限。

　　CVE-2012-5614 MySQL拒絕服務(wù)(DoS)：通過發(fā)送SELECT命令以及包含XML(有大量獨特的嵌套元素)的UpdateXML命令，一個認(rèn)證用戶可導(dǎo)致拒絕服務(wù)。

　　CVE-2012-5615 MySQL遠(yuǎn)程preauth用戶枚舉：遠(yuǎn)程攻擊者可以基于MySQL生成的錯誤消息來發(fā)現(xiàn)有效的MySQL用戶名。

　　乍一看，這個列表似乎指出了很多令人擔(dān)憂的問題，包括DoS攻擊、權(quán)限升級、身份驗證繞過和代碼執(zhí)行。但其實CVE-2012-5615已經(jīng)出現(xiàn)很長一段時間了，并記錄在MySQL開發(fā)者手冊中。此外，如果攻擊者想要成功利用漏洞CVE-2012-5611(實際上是復(fù)制了較舊漏洞CVE-2012-5579)和CVE-2012-5614，他/她將需要有效的MySQL用戶名和密碼。而對于CVE-2012-5613，攻擊者則需要有FILE權(quán)限(對服務(wù)器的讀/寫訪問)的人的有效登錄賬號。這并不是一個漏洞，因為這種已知的服務(wù)器行為只能發(fā)生在錯誤配置的服務(wù)器。手冊上說，最多只能向數(shù)據(jù)庫管理員授予FILE權(quán)限。

　　因此，在實際情況中，只有CVE-2012-5612和5614需要引起真正的關(guān)注。通用漏洞評分系統(tǒng)(CVSS)是評估安全漏洞的標(biāo)準(zhǔn)方法，分?jǐn)?shù)范圍從0到10，0代表最不嚴(yán)重，10代表最嚴(yán)重。CVE-2012-5612的得分為6.5，CVE-2012-5614的得分為4.0，所以它們并不是最嚴(yán)重的漏洞。目前還沒有報道有利用這些漏洞的攻擊，但趨勢科技已經(jīng)發(fā)布了“深度包檢測”(DPI)規(guī)則，并將這些漏洞涵蓋在其防火墻規(guī)則中。

　　仍然擔(dān)心MySQL安全？嘗試替代方案

　　對于仍然擔(dān)心潛在漏洞的MySQL用戶，可以采取一些措施來進一步保護MySQL。首先，確保遠(yuǎn)程用戶發(fā)到數(shù)據(jù)庫的命令經(jīng)驗證后為有效和符合常理的。例如，SHOW FIELDS FROM命令應(yīng)該被阻止，這種命令只可能來自惡意用戶。同時，確認(rèn)MySQL沒有監(jiān)聽可從互聯(lián)網(wǎng)訪問的端口;理想情況下，限制對主機或子網(wǎng)上MySQL的訪問。確認(rèn)所有測試賬戶和不必要的權(quán)限已被刪除，當(dāng)新版本發(fā)布時，盡快升級MySQL，因為其中修復(fù)了這些 托福答案

　　在全面風(fēng)險評估后，MySQL用戶如果還覺得使用該產(chǎn)品的風(fēng)險太大，可以考慮MariaDB，它是MySQL的二進制嵌入式替代品。它不僅功能與MySQL類似(它的開發(fā)者每個月與MySQL代碼庫混合，以確保兼容性)，而且它經(jīng)常先于MySQL打補丁。此外，它有MySQL中沒有的很多選擇、存儲引擎和漏洞修復(fù)，雖然沒有管理支持 托福改分

　　總結(jié)

　　也許這些MySQL零日漏洞可能沒有想象的那么嚴(yán)重，但它們卻提醒著我們，正確配置數(shù)據(jù)庫軟件及運行這些軟件的操作系統(tǒng)是保持?jǐn)?shù)據(jù)安全的重要因素。雖然MySQL很容易設(shè)置和使用，但企業(yè)應(yīng)該多花些時間確保MySQL的安全配置，很多企業(yè)急于推出新的web應(yīng)用而常常忽略了這個步驟。錯誤配置的服務(wù)器很容易受到攻擊。對于所有MySQL用戶，筆者建議閱讀涉及安全問題的MySQL參考手冊的第六章，特別是第6.1.3節(jié)《Making MySQL Secure Against Attackers》。你可以在MySQL網(wǎng)站找到關(guān)于MySQL漏洞的信息。

MySQL安全分析：緩解MySQL零日漏洞