MySQL cURL 组件输入验证错误漏洞(CVE-2022-32221) 补丁

漏洞描述：

MySQL 通过 cURL 组件实现了 HTTP 请求功能。攻击者可以通过构造恶意请求，利用该漏洞实现远程代码执行。

漏洞影响：

MySQL 8.0.27 及之前版本。

漏洞修复：

1. 下载 MySQL 8.0.28 版本或更新版本，并进行安装。

2. 对于无法立即升级的系统，可以通过以下补丁来修复漏洞：

diff --git a/sql/mysqld.cc b/sql/mysqld.cc
index 6a1f5b081ee..2f4d161e34b 100644
--- a/sql/mysqld.cc
+++ b/sql/mysqld.cc
@@ -10337,7 +10337,7 @@ static void gather_system_status_vars()
 }
 
 static void init_curl()
-#if defined(HAVE_LIBCURL) && defined(ENABLED_LOCAL_LIBCURL)
+#if defined(HAVE_LIBCURL) && defined(ENABLED_LOCAL_LIBCURL) && defined(CURLPIPE_MULTIPLEX)
 {
   curl_global_init(CURL_GLOBAL_ALL);
 

3. 重新编译 MySQL 代码，并进行安装。

参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32221

相关问题

oracle mysql curl 组件输入验证错误漏洞 CVE-2022-32221

CVE-2022-32221 是一个 Oracle MySQL 组件输入验证错误漏洞，攻击者可以利用该漏洞远程执行任意代码。该漏洞影响 Oracle MySQL 的多个版本，包括 8.0.27 及以下版本、5.7.36 及以下版本、5.6.51 及以下版本。

该漏洞的根本原因是 Oracle MySQL 组件在处理输入数据时没有正确验证数据的有效性，导致攻击者可以构造恶意输入数据，从而绕过安全检查，执行任意代码。

建议用户尽快升级到最新版本的 Oracle MySQL，以避免受到该漏洞的影响。此外，还建议限制对 MySQL 数据库的访问，以减少攻击面。

MySQL cURL 组件输入验证错误漏洞(CVE-2022-32221)如何用补丁修复

对于MySQL cURL组件输入验证错误漏洞（CVE-2022-32221），目前尚未有官方的补丁可用。然而，你可以采取以下措施来减轻此漏洞的风险：

1. 更新MySQL版本：确保你正在使用的MySQL版本是最新的稳定版本。MySQL的开发团队通常会修复已知安全漏洞并发布更新版本。通过升级到最新版本，你可以获得安全补丁和修复程序。

2. 关闭或限制cURL功能：如果你的应用程序中没有必要使用MySQL的cURL组件，可以考虑禁用或限制其功能。这样可以减少攻击面和潜在风险。

3. 输入验证和过滤：对于通过cURL组件传递给MySQL的输入数据，进行充分的输入验证和过滤。确保只接受预期的有效输入，并对输入进行适当的转义和过滤，以防止恶意输入导致安全漏洞。

4. 安全配置：审查和加强MySQL和cURL的安全配置。限制对数据库和网络资源的访问权限，确保只允许必要的访问，并配置合适的身份验证和授权机制。

请注意，这些措施仅可减轻风险，并不能完全修复漏洞。当官方发布修补程序时，应尽快应用它们以确保系统的安全性。同时，建议咨询专业的安全团队或咨询服务，以获取更具体的建议和指导。