北京北大青鳥(niǎo)校區(qū)講解SQL：MYSQL安全漏洞

北京北大青鳥(niǎo)校區(qū)提供：

國(guó)外安全專家現(xiàn)在已經(jīng)確認(rèn)，在MySQL和MariaDB系統(tǒng)中存有嚴(yán)重的服務(wù)器漏洞，黑客可輕易繞過(guò)密碼進(jìn)入系統(tǒng)，密碼幾乎成擺設(shè)。
 
北京北大青鳥(niǎo)校區(qū)老師表示，每256個(gè)暴力破解服務(wù)器身份驗(yàn)證控制時(shí)中，就有1個(gè)接受任意密碼組合。該漏洞代碼為CVE-2012-2122，曾經(jīng)在五月發(fā)布的MySQL 5.1.63和5.5.25版本中就修復(fù)了該漏洞，但是很多服務(wù)器管理員或許尚未意識(shí)到這個(gè)漏洞可能帶來(lái)的影響。
 
在對(duì)170萬(wàn)臺(tái)公開(kāi)MySQL服務(wù)器進(jìn)行掃描發(fā)現(xiàn)，有超過(guò)一半的服務(wù)器(879046臺(tái))遭受此漏洞影響。
 
以下代碼可被用來(lái)獲取用戶名root下的訪問(wèn)權(quán)限：
\$ for i in `seq 1 1000`; do mysql -u root --password=bad -h 127.0.0.1 2>/dev/null;
 
done
 
end（北京北大青鳥(niǎo)校區(qū)）