北京北大青鳥校區提供:
國外安全專家現在已經確認,在MySQL和MariaDB系統中存有嚴重的服務器漏洞,黑客可輕易繞過密碼進入系統,密碼幾乎成擺設。
北京北大青鳥校區老師表示,每256個暴力破解服務器身份驗證控制時中,就有1個接受任意密碼組合。該漏洞代碼為CVE-2012-2122,曾經在五月發布的MySQL 5.1.63和5.5.25版本中就修復了該漏洞,但是很多服務器管理員或許尚未意識到這個漏洞可能帶來的影響。
在對170萬臺公開MySQL服務器進行掃描發現,有超過一半的服務器(879046臺)遭受此漏洞影響。
以下代碼可被用來獲取用戶名root下的訪問權限:
\$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null;
done
end(北京北大青鳥校區)
