现场环境是 Centos 7 ,MySQL 版本是 5.7.32 ,现在被扫到漏洞需要处理。
CVE-2022-21270 影响范围 MySQL >=8.0.0 ,<=8.0.27 ,MySQL >=5.7.0 ,<=5.7.36
Oracle Critical Patch Update Advisory - January 2022 页面中,查看对应的 Patch Availability Document 时需要登陆 oracle 账号,登陆后跳转的 Request Access 页面需要输入 Support Identifier 才可以进行下一步。
oracle 文档中:
2.1.1 客户服务号
客户服务号 (SI) 标识您的公司已购买的产品。有些公司只有一个 SI ,但大多数公司有多个 SI 。SI 包括在 Oracle 发送给贵公司合同所列技术联系人的欢迎信中。访问包括 My Oracle Support 和电话支持在内的 Oracle 技术支持服务时需要 SI 。已启用客户服务号组的客户用户管理员 (CUA) 可以根据需要在 My Oracle Support 中创建其他 SI 。
活动 SI 是与当前支持合同关联的 SI 。如果与 SI 关联的支持合同失效,则 SI 也将失效。如果您的概要信息中只有一个 SI 并且该 SI 已失效,则您只能通过“我的帐户”页访问用户概要信息。如果您的用户概要信息的服务期限快要结束,My Oracle Support 将发送一条消息提醒您,并建议适当的操作。
我们使用的是社区版,没有 SI 号,现在应该如何打补丁?
5.7.36 已经是 8 之前最后一个版本了,显然也不太可能考虑通过升级到最新版本来处理漏洞。
或者有没有朋友能帮忙下载补丁?感谢。
1
0x49 2022-03-31 10:32:44 +08:00 1
- 最新的是修补过漏洞的 5.7.37 版本
- 下载 http://mirrors.aliyun.com/mysql/MySQL-5.7/ |
2
alanying 2022-03-31 10:38:01 +08:00
如果是系统上的 RPM 包,保持最新 那种基于版本号判断安全与否的方式就不适用的
|
3
persona5 OP @0x49 感谢,5.7.37 修过的话,官方倒是也提供了下载包,不过在 MySQL Product Archives 页面中没有,开始没注意到。
https://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-37.html#mysqld-5-7-37-packaging |
4
gefranks 2022-03-31 10:46:37 +08:00
看了下 Oracle Support 上的 Doc ID 2832117.1,就是升 5.7.37 ,mysql.com 上应该是可以下的
|
5
gefranks 2022-03-31 10:48:09 +08:00
你要从 8.0 下载的 Looking for previous GA versions?点这个连接才会跳 5.7.37
|