安全研究

漏洞描述

美国时间2017年12月16日，Oracle官方发布安全公告。该次公告修复MySQL服务25个安全漏洞，在这些安全漏洞中，影响较大的CVE-2018-2696漏洞，它可以在无需认证的条件下，被远程利用发动拒绝服务攻击。本次安全公告披露的安全漏洞数量较多，建议用户关注。根据Oracle官方公告介绍，本次公告修复MySQL的多个远程安全漏洞，其中CVE-2018-2562及CVE-2018-2591较为严重，可以直接被远程利用发动攻击。攻击者可以利用漏洞获取数据、篡改数据或导致拒绝服务，从而影响MySQL服务。

漏洞编号

CVE-2018-2562至2591

漏洞评级

高危

影响范围

MySQL 5.6.x <= 5.6.38

MySQL 5.7.x <= 5.7.20

具体受影响范围参见安全公告详情。

修复建议

Oracle官方已经最新版本，建议自建MySQL服务的用户及时手工下载更新：

MySQL 5.6.39 版本

MySQL 5.7.21 版本

建议您在版本升级前使用ECS快照功能做好数据备份工作，避免升级过程中发生意外。

对自建MySQL服务进行安全加固，如配置安全组策略，禁止3306直接通过外网访问，防止被黑客远程利用等。