Percona Database Performance Blog
·
安全公告:影响Percona监控与管理(PMM)的CVE
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
在所有版本的Percona Monitoring and Management (PMM)中发现漏洞,攻击者可通过特定API执行系统命令。Percona已发布PMM 3.3.1修复此漏洞,建议用户升级并更改监控服务凭据。
🎯
关键要点
- 在所有版本的Percona Monitoring and Management (PMM)中发现漏洞,攻击者可通过特定API执行系统命令。
- 该漏洞源于PMM处理MySQL服务和代理操作输入的方式,攻击者可利用特定API端点执行任意系统命令。
- 此漏洞不需要特权用户凭据,普通服务账户即可访问PMM API。
- Percona已发布PMM 3.3.1修复此漏洞,并加强输入过滤以防止恶意代码注入。
- 用户应升级到PMM 3.3.1,并更改PMM监控服务的所有凭据。
- 如果无法立即升级,用户可选择临时措施,如将pt-mysql-summary脚本设为不可执行或删除该工具。
- 用户应彻底检查访问日志,以发现任何潜在的未授权访问尝试或可疑活动。
- Percona提供24/7支持,确保数据库基础设施的安全是其首要任务。
❓
延伸问答
Percona Monitoring and Management (PMM)中发现了什么漏洞?
在所有版本的PMM中发现漏洞,攻击者可通过特定API执行任意系统命令。
如何修复PMM中的漏洞?
用户应升级到PMM 3.3.1,并更改所有监控服务的凭据。
如果无法立即升级PMM,我该怎么办?
可以将pt-mysql-summary脚本设为不可执行或删除该工具,并检查访问日志。
这个漏洞是否需要特权用户凭据才能被利用?
不需要,普通服务账户即可访问PMM API并利用该漏洞。
Percona对这个漏洞采取了什么措施?
Percona发布了PMM 3.3.1,增强了输入过滤以防止恶意代码注入。
用户在升级PMM后需要做什么?
用户需要更改所有监控服务的凭据,并检查访问日志以发现可疑活动。
➡️
