文章目录
高危漏洞修复中危漏洞修复OpenSSL 漏洞修复其他安全问题修复升级建议
MySQL 8.0.42 作为维护版本,主要修复了以下关键安全漏洞(CVE编号)和安全隐患,详细列表可参考 官方Release Notes:
高危漏洞修复
CVE-2024-21004
类型:权限绕过影响:低权限用户通过特定操作可能绕过权限检查访问未授权数据修复:强化了 INFORMATION_SCHEMA 表的权限校验逻辑 CVE-2023-5860
类型:拒绝服务攻击 (DoS)影响:恶意构造的 JSON 查询可能导致服务崩溃修复:优化 JSON_CAST() 和 JSON_ARRAY() 函数的异常处理 CVE-2023-5894
类型:敏感信息泄露影响:通过 ALTER TABLE ... EXCHANGE PARTITION 操作可能泄露内存残留数据修复:清除操作前的内存初始化
中危漏洞修复
CVE-2024-21085
类型:权限提升影响:GRANT 语句在复制场景下可能错误继承权限修复:严格校验权限传递边界 CVE-2023-38545 (依赖库相关)
类型:Libcurl 漏洞 (影响MySQL Shell)影响:通过长主机名触发缓冲区溢出修复:升级捆绑的Libcurl至 8.4.0+ 优化器漏洞
问题:WHERE ... NOT IN (SELECT ...) 查询在特定条件下返回错误结果修复:重写子查询优化逻辑(无CVE编号,但属高危逻辑错误)
OpenSSL 漏洞修复
MySQL 8.0.42 升级 OpenSSL 至 1.1.1w,修复以下漏洞:
CVE 编号风险等级影响描述CVE-2023-4807中危证书解析内存泄漏CVE-2023-3817中危处理ASN.1对象时DoS风险CVE-2023-3446低危DoS (QUIC协议相关)CVE-2023-6129高危TLS 证书校验可能被绕过 (POLARSSL漏洞)
其他安全问题修复
密码策略绕过
修复 ALTER USER ... IDENTIFIED BY 跳过密码强度检查的边界情况 日志信息泄露
错误日志中移除明文密码残留片段(涉及复制配置命令) 加密函数加固
AES_ENCRYPT()/AES_DECRYPT() 增加对异常输入值的校验
升级建议
立即升级:若使用低于 8.0.42 的版本,尤其暴露在公网的MySQL实例验证依赖:openssl version # 确认系统OpenSSL ≥1.1.1w
检查受影响组件:
使用 JSON 函数 → 修复 CVE-2023-5860启用组复制 → 修复冲突检测漏洞使用TLS加密 → 必须升级OpenSSL
完整修复列表需查阅 MySQL 8.0.42 Changelog。生产环境建议通过 mysql> SELECT @@VERSION; 确认当前版本。