流行的數據庫管理系統（DBMS）Oracle MySQL 中發現了被稱為“The Riddle”的編碼漏洞，該漏洞允許攻擊者利用MiTM（man-in-the-middle，中間人）來竊取用戶的用戶名和密碼等登錄憑證。用戶請立即更新到5.7版本。

該漏洞編號為“CVE-2017-3305”，可以潛在地將用戶登錄憑證暴露給攻擊者，當MySQL客戶端5.5和5.6將這些用戶憑證信息發送到服務器時，攻擊者就能夠順利捕獲它們。

針對5.5.49和5.6.30版本發布的安全更新無法完全解決這一安全漏洞。5.7及更高版本以及MariaDB系統不受該安全問題的影響。

根據安全研究人員 Pali Rohár 所言，他們曾經嘗試利用影響MySQL數據庫的BACKRONYM漏洞的修補方式來修復Riddle漏洞，但是結果失敗了。Backronym漏洞也同Riddle漏洞一樣，允許攻擊者運行中間人攻擊來竊取用戶登錄憑證，即使流量已經被加密也無法阻止。

MySQL 5.5.49以及5.6.30 穩定版的安全更新包括在驗證過程完成后添加安全參數的驗證。因為驗證完成后，攻擊者可以使用中間人攻擊與 SSL 降級攻擊來竊取用戶的登錄數據，以便立即進行身份驗證并登錄 MySQL 服務器，可笑的部分是，MySQL 客戶端不會在MySQL服務器拒絕驗證用戶時報告任何與 SSL 問題相關的錯誤，而是報告服務器發送的未加密的錯誤信息。此外，當中間人攻擊處于活躍狀態時，錯誤信息可以由攻擊者控制。

更新建議

安全專家建議用戶盡快將客戶端軟件更新到MySQL 5.7 或 MariaDB，因為這些應用程序的安全更新正在正常運行，未受該安全漏洞影響。需要注意的是，這個漏洞雖然早在今年2月份就已經發現了，但是目前仍然在影響Oracle MySql軟件。

如果你不是Oracle 用戶，那么你對他們報告安全漏洞是無用的（即使確實是與安全相關的漏洞）。他們可以完全無視這些安全報告，甚至希望任何人都不要知道這些報告和漏洞的存在，所以至此他們都沒有對漏洞進行修復。所以，立即向用戶公開披露這些安全漏洞看來是最有效的解決方案，因為這樣可以讓用戶知道一旦受影響應該做什么，有效的保護用戶數據安全。

 試用、下載、了解更多產品信息請點擊""