绿盟科技的极光远程安全评估系统扫描到的Mysql服务器漏洞

与Innodb引擎有关的配置说明

RHEL5建立自己的yum源服务器

Large | Medium | Small

[

2009/02/26 13:07 | by askwan ]

今天一朋友公司的服务器在用绿盟科技的极光远程安全评估系统扫描后，发现不少Mysql漏洞，问我怎么搞。
我上服务器看了一下，用的是mysql 5.0.37 这个版本的。

扫描到的漏洞如下：

MySQL IF查询处理远程拒绝服务漏洞

MySQL Server权限提升及拒绝服务漏洞

MySQL服务器RENAME TABLE系统表格覆盖漏洞

MySQL Rename Table函数访问验证漏洞

MySQL SQL SECURITY INVOKER存储过程权限提升漏洞

MySQL权限提升及安全限制绕过漏洞

MySQL MyISAM表绕过权限检查漏洞

MySQL命令行客户端HTML注入漏洞

MySQL访问验证及拒绝服务漏洞

远程MySQL Server版本泄露

咋一看，漏洞还真多啊，把俺着实吓到了，呵呵
不过说真的，这些漏洞还只能升级Mysql到比较新的版本才行，可是升级来升级去，还真相当麻烦，按照朋友的话说，“运行的好好的，有必要升级吗？”

绿盟科技的这个扫描系统是机器执行自动扫描活动的，那么必定是有方法让其没办法扫描到的目标服务器某些服务，否则，每经过一段时期，扫描系统都会更新一次各种漏洞信息，再次对目标系统服务扫描依旧会发现太多太多的东西你需要时常的升级，而升级都是比较耗费时间的，搞不好容易出现各种问题。加之Mysql一直在升级，一年十几甚至几十个版本，这可难为技术的了呵呵

在具体询问和分析了一下朋友这家公司的服务器结构后，发现这台PC服务器前面和里面都没有部署或者安装任何形式的防火墙，80 ，3306 ，22这些端口全部向外开放，也没有做啥安全措施，几乎是全裸在公网上……这其实是一个普遍现象，不少单位没有专门搞安全的技术人员，也没有什么人关注安全这个问题，才有今天这一事
由于客户数据库服务器和web服务器都是在一台服务器上，所以用不着向外面开放3306，这可以通过tcpwarpper或者本机的iptables搞定：

/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD DROP
…………
/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP

随后，只开放了一个80和一个sshd服务，sshd限制IP登录，在本机给配了个流量监控和snort入侵检测系统，有啥异常也好知道发生了什么事情，这样搞了一下后，Mysql方面的漏洞存再用极光扫描，扫描不到了，可以等到Mysql出一个稳定的版本出来之后再考虑升级的问题了。