漏洞摘要

Oracle官方2023年4月更新了多个重要安全补丁，其中包括BeichenDream大佬提交的MySQL Server拒绝服务漏洞（CVE-2023-21912），该漏洞易受攻击者通过多种协议进行网络访问而利用，导致MySQL Server被攻击者未经身份验证的入侵。成功利用此漏洞可能导致未经授权的操作，导致MySQL Server出现挂起或频繁重复崩溃（即完全DOS）。

01 漏洞详情

由于MySQL Server处理认证数据包的缺陷，成功利用此漏洞者可对MySQL Server造成拒绝服务攻击。

02 影响范围

MySQL Server版本：

• 5.0.0 - 5.7.41
• 8.0.0 - 8.0.30

（MySQL Server 5.7和8.0是两个相对独立的版本，它们都处于维护期内，并会获得常规的更新和安全补丁）

03 修复方案

官方已发布新版本，建议升级到最新版本。

https://dev.mysql.com/downloads/mysql/
目前8.0最新版本为8.0.33。

https://dev.mysql.com/downloads/mysql/5.7.html
目前5.7最新版本为5.7.42。

04 缓解方案

MySQL Server若是开启了远程连接，不要设置可连接的ip为'%'。

-- 查看所有用户的权限
-- 留意是否存在可连接的ip为'%'
SELECT user, host, Grant_priv, Super_priv FROM mysql.user;

设置MySQL Server远程连接的白名单ip:

-- 赋予某个ip下某个用户 所有权限
-- *.* 代表全部库名.全部表名
grant all privileges on *.* to 'USERNAME'@'IP' identified by 'PASSWORD' with grant option;
-- 赋予某个ip下某个用户 部分权限
grant select,create,drop,update,alter on *.* to 'USERNAME'@'IP' identified by 'PASSWORD' with grant option;
-- 刷新权限
flush privileges;

如果赋值白名单后，不是白名单的ip连接会提示

Host 'xx.xx.xx.xx' is not allowed to connect to this MySQL server

删除mysql.user表中的记录（操作请谨慎）

DELETE FROM mysql.user WHERE User='root' AND Host='%';
flush privileges;

05 参考链接

1. https://www.oracle.com/security-alerts/cpuapr2023.html
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21912

3. https://nvd.nist.gov/vuln/detail/CVE-2023-21912