[转载]CVE-2012-2122: MySQL身份认证漏洞

转自：https://www.sunchangming.com/blog/?p=4260

我今天早上来上班，打开电脑，在seclists中看到一个很惊人的邮件: http://seclists.org/oss-sec/2012/q2/493 MySQL爆出了一个很大的安全漏洞，几乎影响5.1至5.5的所有版本。出问题的模块是登录时密码校验的部分(password.c)，在知道用户名的 情况下（如root），直接反复重试（平均大约256次）即可登入。不过，MySQL身份认证的时候是采用3元 组，username,ip,password。如果client的IP在mysql.user表中找不到对应的，也无法登陆。

这个BUG实际上早在4月份就被发现了，今年5月7号，MySQL发布5.5.24的时候，修正了这个BUG。

漏洞分析：

出问题的代码如下

my_bool check_scramble(const uchar *scramble_arg, const char *message,
               const uint8 *hash_stage2)
{
  SHA1_CONTEXT sha1_context;
  uint8 buf[SHA1_HASH_SIZE];
  uint8 hash_stage2_reassured[SHA1_HASH_SIZE];

  mysql_sha1_reset(&sha1_context);
  /* create key to encrypt scramble */ mysql_sha1_input(&sha1_context, (const uint8 *) message, SCRAMBLE_LENGTH);
  mysql_sha1_input(&sha1_context, hash_stage2, SHA1_HASH_SIZE);
  mysql_sha1_result(&sha1_context, buf);
  /* encrypt scramble */ my_crypt((char *) buf, buf, scramble_arg, SCRAMBLE_LENGTH);
  /* now buf supposedly contains hash_stage1: so we can get hash_stage2 */ mysql_sha1_reset(&sha1_context);
  mysql_sha1_input(&sha1_context, buf, SHA1_HASH_SIZE);
  mysql_sha1_result(&sha1_context, hash_stage2_reassured);
  return memcmp(hash_stage2, hash_stage2_reassured, SHA1_HASH_SIZE);
}

memcmp的返回值实际上是int，而my_bool实际上是char。那么在把int转换成char的时候，就有可能发生截断。比 如，memcmp返回0×200，截断后变成了0，调用check_scramble函数的就误以为“password is correct“。

 

但是一般来说，memcmp的返回值都在[127,-128]之内，把两个字符串逐个字符的比较，如果找到不一样的，就把这两个字符相减后返回。但 是这样逐个逐个的比较，速度太慢。而且C语言标准中并没有要求返回值一定在char的可表示范围内。Linux的glibc一般使用的是SSE优化后的代 码，它会一次读取多个字节，然后相减，结果可能是一个很大的数。但是一般来讲，在拿GCC编译C/C++程序的时候，对于memcmp/memcpy这样 的常用函数，GCC会优先使用编译器内置的实现（而非glibc中的）。所以这个BUG只在特定的编译环境下才会触发：即编译MySQL的时候在 CFLAGS中加了-fno-builtin，并且所使用的glibc是经SSE优化后的（最近今年的发行版自带的都是如此）。

 

另外提供一个python的验证脚本
///////////////////////////////////////////////////////
import subprocess
i=1
while 1:subprocess.Popen("mysql -S /tmp/mysql3302.sock -uroot -p123456",shell=True).wait();i=i+1;print i;
///////////////////////////////////////////////////////