漏洞扫描安全评估问题

jochenshen · 2023 年8 月 10 日 06:49

TiDB集群版本升级到v7.1.1; 安全漏洞扫描出问题，详情如下；怎么解决？

OpenSSL 代码问题漏洞(CVE-2020-1967)
Oracle MySQL服务器5.7.X<5.7.42安全漏洞（2023年4月CPU）
Haxx libcurl 缓冲区错误漏洞(CVE-2019-3822)
Oracle MySQL Server 多个漏洞（2022 年 7 月 CPU）
Oracle MySQL Server < 5.7.40 安全漏洞（2022年10月CPU）
Oracle MySQL 服务器 < 5.7.37安全漏洞（2022 年 1 月 CPU）
MySQL 5.7.x < 5.7.35 多个漏洞（2021 年 7 月 CPU）
MySQL 5.7.x <5.7.33 多个漏洞（2021年1月补丁）
MySQL 数据库 5.7.x < 5.7.32多个安全漏洞 (Oct 2020 CPU)
Oracle MySQL Server 安全漏洞(CVE-2020-14559)
Oracle MySQL Server 安全漏洞(CVE-2020-14550)
Oracle MySQL Server 安全漏洞(CVE-2020-14553)
Oracle MySQL Server 安全漏洞(CVE-2020-14547)
Oracle MySQL Server 安全漏洞(CVE-2020-14540)
Oracle MySQL Server 安全漏洞(CVE-2020-14539)
Oracle MySQL Server 安全漏洞(CVE-2020-14576)
Haxx libcurl 缓冲区错误漏洞(CVE-2019-3823)
Haxx libcurl 缓冲区错误漏洞(CVE-2018-16890)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2774)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2819)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2791)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2740)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2805)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2737)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2757)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2758)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2778)
OpenSSL信息泄露漏洞（CNVD-2019-05906）(CVE-2019-1559)
Oracle MySQL Server信息泄露漏洞（CNVD-2019-10371）(CVE-2019-2632)
Oracle MySQL Server 访问控制错误漏洞(CVE-2019-2581)
Oracle MySQL Server拒绝服务漏洞（CNVD-2019-10373）(CVE-2019-2628)
Oracle MySQL Server拒绝服务漏洞（CNVD-2019-10374）(CVE-2019-2627)
Oracle MySQL Server 访问控制错误漏洞(CVE-2019-2566)
Oracle MySQL Server拒绝服务漏洞（CNVD-2019-12459）(CVE-2019-2592)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2755)
Oracle MySQL Server拒绝服务漏洞（CNVD-2019-11752）(CVE-2019-2683)
MySQL服务器检测
HTTP响应头X-Content-Options：nosniff Web安全
HTTP响应头使用X-XSS-Protection Web安全
HTTP响应头部使用X-Frame-Options Web安全
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2738)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2797)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2741)
Oracle MySQL Server组件访问控制错误漏洞(CVE-2019-2739)
Oracle MySQL Server拒绝服务漏洞（CNVD-2019-12175）(CVE-2019-2614)

MrSylar · 2023 年8 月 10 日 06:57

openssl 可以直接升级
oracle mysql 的漏洞不适用于 tidb，可以通过修改配置文件参数 server-version 跳过漏洞

tidb菜鸟一只 · 2023 年8 月 10 日 07:10

https://docs.pingcap.com/zh/tidb/stable/high-reliability-faq#我们的安全漏洞扫描工具对-mysql-version-有要求tidb-是否支持修改-server-版本号呢

ShawnYan · 2023 年8 月 10 日 07:24

修改 TiDB 集群的版本号，为 5.7.42 以上绕过漏扫就可以了。

zhanggame1 · 2023 年8 月 10 日 07:31

修改版本号，我今天刚测试过，改完就没事了
修改tidb对外显示的mysql版本号,解决漏洞扫描问题

高可靠常见问题 | PingCAP 文档中心

目前版本如上，修改为5.7.99-TiDB-V7.12.0

Kongdom · 2023 年8 月 10 日 07:33

有99这个版本么？这个能从根本上解决漏洞问题么？

zhanggame1 · 2023 年8 月 10 日 07:39

能，mysql 5.7版本永远都到不了99这个版本号，没有的版本号自然没有漏洞。
漏洞扫描比较弱智，并不知道服务器有什么漏洞，，只知道查下版本号就把这个版本号的漏洞列表显示出来而已。
以前我扫oracle19c，打不打补丁漏洞扫描是扫不出来的，只能在漏扫里面填写了服务器root账号和oracle管理员账号才能扫出来

ShawnYan · 2023 年8 月 10 日 07:42

可以一次性解决漏扫问题，but，等5.7 EOL 后，可能就会提示新的CVE，所以以后还得改，比如8.0.99 或者 8.99.99

Kongdom · 2023 年8 月 10 日 08:04

至少是很久以后的事情了

ShawnYan · 2023 年8 月 10 日 08:08

不久不久，mysql 5.7 还有两个月 eol，mysql 8.2 在路上了，明年漏扫就能用上了

Kongdom · 2023 年8 月 10 日 08:09

来的那么快~猝不及防~

ShawnYan · 2023 年8 月 10 日 09:13

补充一点，接楼上截图，今年用户大会也说了今年会兼容 mysql 8，而且从 tidb 7.2 开始这里已经改了：

welcome to mysql 8 兼容的 tidb

对应pr：
https://github.com/pingcap/tidb/commit/da4bc2b9053b2842ce2bead531a0d4137286e75c

Kongdom · 2023 年8 月 11 日 00:36

真棒，刚好遇到一个8.0的兼容性问题，想睡觉了，枕头就来了~

system · 2023 年10 月 10 日 05:46

此话题已在最后回复的 60 天后被自动关闭。不再允许新回复。