超级会员免费看
本文详细介绍了CVE-2012-2122漏洞,该漏洞允许攻击者通过不正确的memcmp()处理在MariaDB和MySQL的特定版本中实现身份认证绕过。内容包括漏洞介绍、影响版本以及多种复现漏洞的方法,如使用goby的漏洞exploit、metasploit框架、Linux for循环、nmap脚本模块和Python的subprocess模块。
一、漏洞介绍
当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。按照公告说法大约256次就能够蒙对一次。(只要知道用户名,不断尝试就能够直接登入SQL数据库。)
二、影响版本
All MariaDB and MySQL versions up to 5.1.61, 5.2.11, 5.3.5, 5.5.22 are vulnerable.
MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not.
MySQL versions from 5.1.63, 5.5.24, 5.6.6 are not.
三、goby扫描结果
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
