设为首页收藏本站

LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区!

 找回密码
 注册

QQ登录

只需一步,快速开始

#公告#抱歉,网站将关闭,不再开放。由于PC时代已远逝 。在这个后移动互联网时代,我们继续携手前行,保持对技术的热情。共同构建linuxtone知识星球欢迎加入,一起讨论技术、招聘人才、分享资源。请新老linuxtone人 扫码移步到 知识星球:linuxtone

学习是一种信仰!分享是一种快乐!能力= 心态 * 沟通 * 知识 (你的每一天需要正能量!)

 网站的发展需要你贡献一份力量!希望你能每天坚持看贴1小时,并回答网友的问题!祝你在浏览论坛的过程中取得进步!谢谢!linuxtone加油!大家加油! 友情提示: 你今天学习了吗?你今天进步了吗?少一点抱怨!多一点进步!Life is short ! Why not linuxtone ?  

网站的发展、感谢每位坛友的努力!

查看: 2741|回复: 4

[others] CVE-2012-2122: MySQL身份认证漏洞 [复制链接]

Rank: 8Rank: 8

签到
645
注册时间
2011-3-5
最后登录
2015-7-22
在线时间
459 小时
阅读权限
90
积分
66622
帖子
141
主题
10
精华
0
UID
12263
发表于 2012-6-11 21:51:14 |显示全部楼层
我今天早上打开电脑,在seclists中看到一个很惊人的thread:http://seclists.org/oss-sec/2012/q2/493 MySQL爆出了一个很大的安全漏洞,几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c),在知道用户名的情况下(如root),直接反复重试(平均大约256次)即可登入。不过,MySQL身份认证的时候是采用3元组,username,ip,password。如果client的IP在mysql.user表中找不到对应的,也无法登陆。

这个BUG实际上早在4月份就被发现了,今年5月7号,MySQL发布5.5.24的时候,修正了这个BUG。

漏洞分析:

出问题的代码如下

/*
    Check that scrambled message corresponds to the password; the function
    is used by server to check that recieved reply is authentic.
    This function does not check lengths of given strings: message must be
    null-terminated, reply and hash_stage2 must be at least SHA1_HASH_SIZE
    long (if not, something fishy is going on).
  SYNOPSIS
    check_scramble()
    scramble     clients' reply, presumably produced by scramble()
    message      original random string, previously sent to client
                 (presumably second argument of scramble()), must be
                 exactly SCRAMBLE_LENGTH long and NULL-terminated.
    hash_stage2  hex2octet-decoded database entry
    All params are IN.

  RETURN VALUE
    0  password is correct
    !0  password is invalid
*/

my_bool
check_scramble(const uchar *scramble_arg, const char *message,
               const uint8 *hash_stage2)
{
  SHA1_CONTEXT sha1_context;
  uint8 buf[SHA1_HASH_SIZE];
  uint8 hash_stage2_reassured[SHA1_HASH_SIZE];

  mysql_sha1_reset(&sha1_context);
  /* create key to encrypt scramble */
  mysql_sha1_input(&sha1_context, (const uint8 *) message, SCRAMBLE_LENGTH);
  mysql_sha1_input(&sha1_context, hash_stage2, SHA1_HASH_SIZE);
  mysql_sha1_result(&sha1_context, buf);
  /* encrypt scramble */
    my_crypt((char *) buf, buf, scramble_arg, SCRAMBLE_LENGTH);
  /* now buf supposedly contains hash_stage1: so we can get hash_stage2 */
  mysql_sha1_reset(&sha1_context);
  mysql_sha1_input(&sha1_context, buf, SHA1_HASH_SIZE);
  mysql_sha1_result(&sha1_context, hash_stage2_reassured);
  return memcmp(hash_stage2, hash_stage2_reassured, SHA1_HASH_SIZE);
}
memcmp的返回值实际上是int,而my_bool实际上是char。那么在把int转换成char的时候,就有可能发生截断。比如,memcmp返回0×200,截断后变成了0,调用check_scramble函数的就误以为“password is correct“。

但是一般来说,memcmp的返回值都在[127,-128]之内。glibc的经SSE优化后的代码,不是如此。所以这个BUG只在特定的编译环境下才会触发:即编译MySQL的时候加了-fno-builtin,并且所使用的glibc是经SSE优化后的(一般系统自带的都是如此)。这里所说的glibc是指Linux的glibc,FreeBSD的libc不受影响。

总的来说这个BUG还是比较严重的,上次MySQL出现这样的BUG还是在3.23/4.0时代。

原文:https://www.sunchangming.com/blog/?p=4260
个人博客:http://m114.org/

Rank: 8Rank: 8

注册时间
2009-11-17
最后登录
2015-9-26
在线时间
361 小时
阅读权限
90
积分
56805
帖子
518
主题
25
精华
1
UID
6686
发表于 2012-6-12 10:42:51 |显示全部楼层
升级个p啊 ,都是tmd乱转发

使用道具 举报

Rank: 8Rank: 8

注册时间
2011-3-5
最后登录
2015-7-22
在线时间
459 小时
阅读权限
90
积分
66622
帖子
141
主题
10
精华
0
UID
12263
发表于 2012-6-12 11:19:03 |显示全部楼层
huangxiaolu 发表于 2012-6-12 10:42
升级个p啊 ,都是tmd乱转发

怎么能是乱转发呢,转发也是为了更好的提醒大家额!
个人博客:http://m114.org/

使用道具 举报

论坛元老

尼玛才是运维工程师

Rank: 8Rank: 8

注册时间
2010-6-25
最后登录
2018-9-27
在线时间
178 小时
阅读权限
90
积分
27143
帖子
339
主题
37
精华
1
UID
9612
发表于 2012-6-12 11:55:13 |显示全部楼层
这个可能对rpm安装的mysql杀伤力较大吧,手动编译的好像很少用那个参数。

使用道具 举报

Rank: 8Rank: 8

注册时间
2012-1-12
最后登录
2013-11-9
在线时间
93 小时
阅读权限
90
积分
22583
帖子
74
主题
0
精华
0
UID
17298
发表于 2012-6-12 12:00:36 |显示全部楼层
手动编译的好像很少用参数。。。。

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

IT运维专家网感谢您的支持

合作联系: QQ:67888954/MSN:cnseek@msn.com/mail:netseek@linuxtone.org

Archiver|手机版|感谢所有关心和支持过LinuxTone的朋友们 转载本站内容请注明原作者名及出处 ( 京ICP备08103151 )   |

GMT+8, 2020-4-1 10:26 , Processed in 0.022968 second(s), 12 queries , Apc On.

Powered by Discuz! X2 Licensed

© 2001-2011 Comsenz Inc.

回顶部