一些世界上最大的公司（例如Facebook、谷歌和Adobe）以及很多規(guī)模較小的企業(yè)都在使用Oracle公司的MySQL數(shù)據(jù)庫(kù)服務(wù)器軟件。它的性能、可靠性和易用性使其成為在LAMP（Linux、Apache、MySQL、Perl/PHP/Python）平臺(tái)上構(gòu)建的數(shù)千Web應(yīng)用不可缺少的部分。鑒于其龐大的用戶群，最近發(fā)現(xiàn)的幾個(gè)MySQL零日漏洞利用引起IT安全團(tuán)隊(duì)的高度關(guān)注，也激起了攻擊者對(duì)MySQL安全的興趣。

本文將討論MySQL安全狀況和這些MySQL零日漏洞威脅。我們還將為MySQL用戶提供一些可行的緩解措施，和可能的MySQL替代方案。

MySQL零日漏洞概述

為了確定最近MySQL零日漏洞的嚴(yán)重程度，我們首先必須深入分析每個(gè)漏洞。這些漏洞已經(jīng)被分配了以下公共漏洞和暴露（Common Vulnerabilities and Exposures  CVE）ID：

◆ CVE-2012-5611 MySQL基于堆棧的緩沖區(qū)溢出：這是通過(guò)發(fā)送超長(zhǎng)參數(shù)到GRANT FILE命令來(lái)觸發(fā)的，該操作會(huì)導(dǎo)致堆棧緩沖區(qū)溢出。它將允許遠(yuǎn)程攻擊者執(zhí)行任意代碼，甚至可能導(dǎo)致數(shù)據(jù)庫(kù)崩潰。

◆ CVE-2012-5612 MySQL基于堆的溢出：低權(quán)限經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者可以通過(guò)發(fā)送一系列特制的命令來(lái)導(dǎo)致堆緩沖區(qū)溢出。

◆ CVE-2012-5613 MySQL數(shù)據(jù)庫(kù)權(quán)限提升：這并不被認(rèn)為是一個(gè)安全漏洞，而是MySQL錯(cuò)誤配置的結(jié)果，它可能導(dǎo)致遠(yuǎn)程認(rèn)證用戶獲得管理員權(quán)限。

◆ CVE-2012-5614 MySQL拒絕服務(wù)（DoS）：通過(guò)發(fā)送SELECT命令以及包含XML（有大量獨(dú)特的嵌套元素）的UpdateXML命令，一個(gè)認(rèn)證用戶可導(dǎo)致拒絕服務(wù)。

◆ CVE-2012-5615 MySQL遠(yuǎn)程preauth用戶枚舉：遠(yuǎn)程攻擊者可以基于MySQL生成的錯(cuò)誤消息來(lái)發(fā)現(xiàn)有效的MySQL用戶名。

乍一看，這個(gè)列表似乎指出了很多令人擔(dān)憂的問(wèn)題，包括DoS攻擊、權(quán)限升級(jí)、身份驗(yàn)證繞過(guò)和代碼執(zhí)行。但其實(shí)CVE-2012-5615已經(jīng)出現(xiàn)很長(zhǎng)一段時(shí)間了，并記錄在MySQL開發(fā)者手冊(cè)中。此外，如果攻擊者想要成功利用漏洞CVE-2012-5611（實(shí)際上是復(fù)制了較舊漏洞CVE-2012-5579）和CVE-2012-5614，他/她將需要有效的MySQL用戶名和密碼。而對(duì)于CVE-2012-5613，攻擊者則需要有FILE權(quán)限（對(duì)服務(wù)器的讀/寫訪問(wèn)）的人的有效登錄賬號(hào)。這并不是一個(gè)漏洞，因?yàn)檫@種已知的服務(wù)器行為只能發(fā)生在錯(cuò)誤配置的服務(wù)器。手冊(cè)上說(shuō)，最多只能向數(shù)據(jù)庫(kù)管理員授予FILE權(quán)限。

因此，在實(shí)際情況中，只有CVE-2012-5612和5614需要引起真正的關(guān)注。通用漏洞評(píng)分系統(tǒng)（CVSS）是評(píng)估安全漏洞的標(biāo)準(zhǔn)方法，分?jǐn)?shù)范圍從0到10，0代表最不嚴(yán)重，10代表最嚴(yán)重。CVE-2012-5612的得分為6.5，CVE-2012-5614的得分為4.0，所以它們并不是最嚴(yán)重的漏洞。目前還沒(méi)有報(bào)道有利用這些漏洞的攻擊，但趨勢(shì)科技已經(jīng)發(fā)布了“深度包檢測(cè)”（DPI）規(guī)則，并將這些漏洞涵蓋在其防火墻規(guī)則中。

仍然擔(dān)心MySQL安全？嘗試替代方案

對(duì)于仍然擔(dān)心潛在漏洞的MySQL用戶，可以采取一些措施來(lái)進(jìn)一步保護(hù)MySQL。首先，確保遠(yuǎn)程用戶發(fā)到數(shù)據(jù)庫(kù)的命令經(jīng)驗(yàn)證后為有效和符合常理的。例如，SHOW FIELDS FROM命令應(yīng)該被阻止，這種命令只可能來(lái)自惡意用戶。同時(shí)，確認(rèn)MySQL沒(méi)有監(jiān)聽可從互聯(lián)網(wǎng)訪問(wèn)的端口；理想情況下，限制對(duì)主機(jī)或子網(wǎng)上MySQL的訪問(wèn)。確認(rèn)所有測(cè)試賬戶和不必要的權(quán)限已被刪除，當(dāng)新版本發(fā)布時(shí)，盡快升級(jí)MySQL，因?yàn)槠渲行迯?fù)了這些漏洞。

在全面風(fēng)險(xiǎn)評(píng)估后，MySQL用戶如果還覺(jué)得使用該產(chǎn)品的風(fēng)險(xiǎn)太大，可以考慮MariaDB，它是MySQL的二進(jìn)制嵌入式替代品。它不僅功能與MySQL類似（它的開發(fā)者每個(gè)月與MySQL代碼庫(kù)混合，以確保兼容性），而且它經(jīng)常先于MySQL打補(bǔ)丁。此外，它有MySQL中沒(méi)有的很多選擇、存儲(chǔ)引擎和漏洞修復(fù)，雖然沒(méi)有管理支持。

總結(jié)

也許這些MySQL零日漏洞可能沒(méi)有想象的那么嚴(yán)重，但它們卻提醒著我們，正確配置數(shù)據(jù)庫(kù)軟件及運(yùn)行這些軟件的操作系統(tǒng)是保持?jǐn)?shù)據(jù)安全的重要因素。雖然MySQL很容易設(shè)置和使用，但企業(yè)應(yīng)該多花些時(shí)間確保MySQL的安全配置，很多企業(yè)急于推出新的web應(yīng)用而常常忽略了這個(gè)步驟。錯(cuò)誤配置的服務(wù)器很容易受到攻擊。對(duì)于所有MySQL用戶，筆者建議閱讀涉及安全問(wèn)題的MySQL參考手冊(cè)的第六章，特別是第6.1.3節(jié)《Making MySQL Secure Against Attackers》。你可以在MySQL網(wǎng)站找到關(guān)于MySQL漏洞的信息。