12 3 / 3 页下一页

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-11-16 23:28 |只看该作者 |倒序浏览

mysql.user 表，所用的用户都设的密码啊，0长度？不知是什么意思，这边的朋友帮忙看看是哪的问题,谢谢啦~

[ 本帖最后由 xpban2006 于 2008-11-17 10:08 编辑 ]

文库|博客

xpban2006

小富即安

论坛徽章:: 0

2楼 [报告]

发表于 2008-11-17 01:04 |只看该作者

在网上搜是个溢出漏洞啊，不知怎么解决，搜了半天也没有

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ruochen

版主

论坛徽章:: 8

3楼 [报告]

发表于 2008-11-17 08:09 |只看该作者

0长度?是不是空密码呀？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xpban2006

小富即安

论坛徽章:: 0

4楼 [报告]

发表于 2008-11-17 09:56 |只看该作者

不是，在验证的时候发送一个空的字节，通过代码，绕过验证，是这么说的，mysql网站上说这不是问题？我英语不好，大概是这么个意思，不知对不对，知道的朋友说说啊

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

xpban2006

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2008-11-17 10:05 |只看该作者

这是扫描安全的原话
通过0长度密码绕过MySQL认证

用户用一个精心构造的认证数据包
可能会绕过数据库的密码认证

注意: 为了使用这个脚本, MySQL的监听程序必须允许来自扫描的
IP地址的连接。
___________________________________________________________________

It was not possible to login into your MySQL database remotely (possibly due to remote access
restrictions on the DB user 'root'). However, your MySQL server version is found to be one
of the vulnerable versions so exploitation is possible for users with remote access.

Solution: Upgrade to MySQL 4.1.3 or newer
Risk Factor: High
BUGTRAQ_ID : 10654, 10655
NESSUS_ID : 12639