【安全通告】Oracle MySQL JDBC XXE漏洞风险通告(CVE-2021-2471)
摘要:
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Oracle官方发布安全通告,披露了其MySQL JDBC(Connector/J)存在XXE漏洞,漏洞编号CVE-2021-2471。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
MySQL JDBC(MySQL Connector/J)是一个实现 Java 数据库连接 (JDBC) API 和 MySQL X DevAPI 的驱动程序,可为使用 Java 编程语言开发的客户端应用程序提供MySQL的连接。
由于MySQL Connector/J组件中getSource()方法对传入的XML数据校验不足,导致攻击者可在XML数据中引入外部实体造成XXE攻击。成功攻击此漏洞会导致对敏感数据的未授权访问等危害。cvss分数5.9。
风险等级
中风险
漏洞风险
攻击者利用该漏洞可导致远程特权用户读取敏感数据或使应用程序崩溃
影响版本
MySQL JDBC < 8.0.27
安全版本
MySQL JDBC >= 8.0.27
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://www.oracle.com/security-alerts/cpuoct2021.html
https://nvd.nist.gov/vuln/detail/CVE-2021-2471