一些世界上最大的公司（例如Facebook、谷歌和Adobe）以及很多規模較小的企業都在使用Oracle公司的MySQL數據庫服務器軟件。它的性能、可靠性和易用性使其成為在LAMP（Linux、Apache、MySQL、Perl/PHP/Python）平臺上構建的數千Web應用不可缺少的部分。鑒于其龐大的用戶群，最近發現的幾個MySQL零日漏洞利用引起IT安全團隊的高度關注，也激起了攻擊者對MySQL安全的興趣。

本文將討論MySQL安全狀況和這些MySQL零日漏洞威脅。我們還將為MySQL用戶提供一些可行的緩解措施，和可能的MySQL替代方案。

MySQL零日漏洞概述

為了確定最近MySQL零日漏洞的嚴重程度，我們首先必須深入分析每個漏洞。這些漏洞已經被分配了以下公共漏洞和暴露（Common Vulnerabilities and Exposures  CVE）ID：

◆ CVE-2012-5611 MySQL基于堆棧的緩沖區溢出：這是通過發送超長參數到GRANT FILE命令來觸發的，該操作會導致堆棧緩沖區溢出。它將允許遠程攻擊者執行任意代碼，甚至可能導致數據庫崩潰。

◆ CVE-2012-5612 MySQL基于堆的溢出：低權限經驗證的遠程攻擊者可以通過發送一系列特制的命令來導致堆緩沖區溢出。

◆ CVE-2012-5613 MySQL數據庫權限提升：這并不被認為是一個安全漏洞，而是MySQL錯誤配置的結果，它可能導致遠程認證用戶獲得管理員權限。

◆ CVE-2012-5614 MySQL拒絕服務（DoS）：通過發送SELECT命令以及包含XML（有大量獨特的嵌套元素）的UpdateXML命令，一個認證用戶可導致拒絕服務。

◆ CVE-2012-5615 MySQL遠程preauth用戶枚舉：遠程攻擊者可以基于MySQL生成的錯誤消息來發現有效的MySQL用戶名。

乍一看，這個列表似乎指出了很多令人擔憂的問題，包括DoS攻擊、權限升級、身份驗證繞過和代碼執行。但其實CVE-2012-5615已經出現很長一段時間了，并記錄在MySQL開發者手冊中。此外，如果攻擊者想要成功利用漏洞CVE-2012-5611（實際上是復制了較舊漏洞CVE-2012-5579）和CVE-2012-5614，他/她將需要有效的MySQL用戶名和密碼。而對于CVE-2012-5613，攻擊者則需要有FILE權限（對服務器的讀/寫訪問）的人的有效登錄賬號。這并不是一個漏洞，因為這種已知的服務器行為只能發生在錯誤配置的服務器。手冊上說，最多只能向數據庫管理員授予FILE權限。

因此，在實際情況中，只有CVE-2012-5612和5614需要引起真正的關注。通用漏洞評分系統（CVSS）是評估安全漏洞的標準方法，分數范圍從0到10，0代表最不嚴重，10代表最嚴重。CVE-2012-5612的得分為6.5，CVE-2012-5614的得分為4.0，所以它們并不是最嚴重的漏洞。目前還沒有報道有利用這些漏洞的攻擊，但趨勢科技已經發布了“深度包檢測”（DPI）規則，并將這些漏洞涵蓋在其防火墻規則中。

仍然擔心MySQL安全？嘗試替代方案

對于仍然擔心潛在漏洞的MySQL用戶，可以采取一些措施來進一步保護MySQL。首先，確保遠程用戶發到數據庫的命令經驗證后為有效和符合常理的。例如，SHOW FIELDS FROM命令應該被阻止，這種命令只可能來自惡意用戶。同時，確認MySQL沒有監聽可從互聯網訪問的端口；理想情況下，限制對主機或子網上MySQL的訪問。確認所有測試賬戶和不必要的權限已被刪除，當新版本發布時，盡快升級MySQL，因為其中修復了這些漏洞。

在全面風險評估后，MySQL用戶如果還覺得使用該產品的風險太大，可以考慮MariaDB，它是MySQL的二進制嵌入式替代品。它不僅功能與MySQL類似（它的開發者每個月與MySQL代碼庫混合，以確保兼容性），而且它經常先于MySQL打補丁。此外，它有MySQL中沒有的很多選擇、存儲引擎和漏洞修復，雖然沒有管理支持。

總結

也許這些MySQL零日漏洞可能沒有想象的那么嚴重，但它們卻提醒著我們，正確配置數據庫軟件及運行這些軟件的操作系統是保持數據安全的重要因素。雖然MySQL很容易設置和使用，但企業應該多花些時間確保MySQL的安全配置，很多企業急于推出新的web應用而常常忽略了這個步驟。錯誤配置的服務器很容易受到攻擊。對于所有MySQL用戶，筆者建議閱讀涉及安全問題的MySQL參考手冊的第六章，特別是第6.1.3節《Making MySQL Secure Against Attackers》。你可以在MySQL網站找到關于MySQL漏洞的信息。