Oracle MySQL Server 安全漏洞(CVE-2024-20969)
Oracle MySQL Server 安全漏洞(CVE-2024-20977)
Oracle MySQL Server 安全漏洞(CVE-2024-20971)
Oracle MySQL Server 安全漏洞(CVE-2024-20965)
Oracle MySQL Server 安全漏洞(CVE-2024-20963)
Oracle MySQL Server 安全漏洞(CVE-2024-20968)
Oracle MySQL Server 安全漏洞(CVE-2024-20962)
Oracle MySQL Server 安全漏洞(CVE-2024-20972)
Oracle MySQL Server 安全漏洞(CVE-2024-20978)
Oracle MySQL Server 安全漏洞(CVE-2024-20982)
Oracle MySQL Server 安全漏洞(CVE-2024-20974)
Oracle MySQL Server 安全漏洞(CVE-2024-20966)
Oracle MySQL Server 安全漏洞(CVE-2024-20970)
Oracle MySQL Server 安全漏洞(CVE-2024-20960)
Oracle MySQL Server 安全漏洞(CVE-2024-20976)
Oracle MySQL Server 安全漏洞(CVE-2024-20961)
要升级就升级到较新的版本吧, 8.0.34 如果只升级到 8.0.36 那就没有多大意义了,过不了多久还会暴露出不少问题。MySQL的最新版本已经来到了 8.4。经过了解,在MySQL 8.0版本发布时,MYSQL的版本发布机制也有了变化。推出了MySQL创新和长期支持版本(LTS),这是MySQL版本控制模型的重要改进。因为在MySQL 5.7和以前版本的补丁版本主要集中在bug修复和安全补丁上。有一点,MySQL是在2017年发布的8.0, 而在此之前的版本是5.7.40,中间的MYSQL6、7版本根本没有发布。而 MySQL 8.4 是一个有重大意义的版本,因为它被指定为长期支持(LTS)版本。创新版本可能每季度发布一次,新的长期支持版本大约每两年发布一次。8.4 版本将持续到 2026 年初。
官网的介绍链接地址:https://dev.mysql.com/doc/refman/8.4/en/mysql-nutshell.html
MySQL 8.0版本在5.7版本之上进行的变化包括:默认字符集由latin1变为utf8mb4;MyISAM系统表全部换成InnoDB;JSON特性增强;sql_mode参数默认值变化;默认密码策略变更;支持不可见索引,支持直方图;支持窗口函数,支持Hash join;新增角色管理。
MySQL 8.4 部分特性如下:
1. MySQL native password authentication changes. MySQL本机密码身份验证更改。从MySQL 8.4.0开始,默认情况下不再启用已弃用的MySQL_native_password身份验证插件。要启用它,请使用--mysql native password=ON(在mysql 8.4.0中添加)启动服务器,或者在mysql配置文件的[mysqld]部分包含mysql_native_password=ON。
2. InnoDB system variable default value changes. MySQL 8.4.0中更改了许多与InnoDB存储引擎相关的服务器系统变量的默认值,可以看上面链接中的表,比如
MySQL 8.0是增加了设置参数innodb_buffer_pool_in_core_file。可以控制在实例宕机时,core文件里不去掉buffer pool以大大减少了core文件的大小。因为很多时候实例挂是因为文件损坏,不停的core重启会很快把磁盘占满。在8.0时是ON,8.4版本中则改成如果支持MADV_DONTDUMP,则为OFF,否则为ON。ADV_DONTDUMP 为从核心转储中排除指定范围的页面。还有很多其它的字段默认值有进行修改。另外还有在 Linux 上Innodb_flush_method 已从 fsync 改为 ODIRECT。innopdb_log_buffer_size 从 16 MiB 变为 64 MiB等等。
3. Clone plugin. 克隆插件版本控制要求放宽,允许在同一系列中的不同点发布之间进行克隆。换言之,只有主要版本号和次要版本号必须匹配,而之前的点发布号也必须匹配。For example, clone functionality now permits cloning 8.4.0 to 8.4.14 and vice-versa.
4. SASL-based LDAP authentication on Windows. 在Microsoft Windows上,现在支持用于基于SASL的LDAP身份验证的服务器插件。这意味着Windows客户端现在可以使用GSSAPI/Kerberos通过authentication_ldap_sasl_client插件进行身份验证。
5. MySQL Native 密码默认情况下也不再加载。不过它仍可以手动加载。mysqldump 现在可以为旧版本生成输出结果。这对那些将数据转移到 8.0.23 之前或 8.0.23 至 8.1(包括 8.0.23)的系统的人来说非常方便。运行 ANALYZE TABLE 时,直方图会自动更新。
6. 修复了 143个 bug,等等 etc. 还有好多,看官网吧。
MYSQL的防火墙规则配置。
但是考虑到 MYSQL 是内部服务,根本不对外开放端口。沟通了一下是可以使用防火墙策略来进行处理,不用非得升级。然后通过 service firefall 查看目前的策略,发现我原来在添加 3306 端口时未指定 source address导致这个端口被扫描出漏洞,要不这个就不会扫出来。对比如下:
[7u6 ~]# firewall-cmd --list-all
...
rule family="ipv4" source address="192.168.12.14" port port="3307" protocol="tcp" accept
rule family="ipv4" port port="3306" protocol="tcp" accept
之前博客中有一篇防火墙相关的文章: https://blog.csdn.net/weixin_47792780/article/details/137096252 这里列出本次用的一些命令:
# 删除规则
[7u6 ~]# firewall-cmd --remove-port=3307/tcp --permanent
# 添加规则
[7u6 ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.12.14" port protocol="tcp" port="3306" accept'
[7u6 ~]# firewall-cmd --reload
这样操作之后就存在2条 3306相关的端口规则。
[7u6 ~]# firewall-cmd --list-all
...
rule family="ipv4" source address="192.168.12.14" port port="3307" protocol="tcp" accept
rule family="ipv4" port port="3306" protocol="tcp" accept
rule family="ipv4" source address="192.168.12.14" port protocol="tcp" port="3306" accept
所以修改一下策略,将 mysql 的端口限定在特定的ip才能访问,这样扫查就不会暴漏洞问题了。
我在网上没有找到编辑某条防火墙规则的命令,个人认为其修改就是删除新增或者新增再删除。为不对业务有影响,采用新增后再删除比较稳妥。
新增后删除防火墙规则可以把整个规则复制进来进行删除,这样可以解决针对同一个端口有多条规则时,只想删除其中某条规则的操作处理。
[7u6 ~]# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.12.14" port protocol="tcp" port="6379" accept"
[7u6 ~]# firewall-cmd --list-all
有说使用 firewall-cmd --list-all --zone=public 能显示规则的编号,但我这里试了一下,发现并未显示规则编号。另外在添加防火墙规则时,通过:
firewall-cmd --zone=public --permanent --add-port=80/tcp
添加的规则,端口号会直接显示在 firewall-cmd --list-all 结果中的 ports项里,即端口任意请求都通过。而添加了一些source等限制的则会列在rich rules。
还有 firewall-cmd 要操作多个端口的防火墙规则时,可以使用如下命令;
#增加端口范围:
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" port protocol="tcp" port="80-88" accept"
#多个端口
firewall-cmd --permanent --add-port=8848/udp --add-port=80/tcp --add-port=433/tcp
本文地址:http://8408.cn/article/1285.html 未经许可,不得转载. 手机访问本页请扫描右下方二维码.
手机扫码直接打开本页面 |