TiDB 扫描出 MySQL 漏洞如何修复

tidb 5.0.2

漏洞:
CVE-2020-2804
CVE-2021-2011
如何修复

2 个赞

TiDB已经在内部讨论了,有结论后会及时反馈~:handshake:

1 个赞

你好,这两个漏洞应该是扫描器误报,目前tidb不受影响。

CVE-2020-2804这个漏洞是mysql memcached插件引入的,详情可以参考Oracle的安全通告,这个插件是和存储引擎相关的,tidb无法使用这个插件,所以不受漏洞影响。

CVE-2021-2011这个漏洞存在于mysql client(详见:CNNVD-202101-1336),如果是扫描mysql服务端口扫出这个漏洞,应该是扫米器的规则写的比较粗暴,判断了一下版本特征就报了漏洞。如果要排查的话,可以排查一下本地mysql client的版本,如果版本过低的话可以升级。

我们内部测试已经注意到了类似扫描器误报的问题,一般带漏洞验证的扫描器是不会误报的。但现在市面上有一些扫描器,会把tidb误认为是mysql,然后根据版本特征匹配漏洞,这种扫描器就会出现这样的误报问题。

如果后续遇到tidb扫描出mysql漏洞的情况(一般不用紧张,大概率是误报),可以通过查看Oracle的漏洞通告确定是不是mysql原生的问题。如果是mysql原生的问题(mysql client、存储引擎、原生插件的问题),就说明是扫描器误报。如果难以确定的话,还可以发到tug上来,我们一起排查一下。

7 个赞

此话题已在最后回复的 1 分钟后被自动关闭。不再允许新回复。